Windows Server 2012 er et nettverksoperativsystem i Windows- familien. Operativsystemet er nær beslektet med Windows 8, og de fleste som har brukt en PC med Windows, vil kjenne seg igjen. I tillegg til vanlige Windows-funksjoner har det en rekke tilleggsfunksjoner som gjør det egnet som operativsystem for en nettverksserver, både for et lokalnett og Internett.
Microsoft Windows kom så tidlig som 1981, men da som et svært enkelt system for å bruke vinduer på en datamaskin. Denne versjonen av Windows ble stadig videreutviklet via Windows 3.0, Windows 95 og 98 og til slutt Windows Me som kom i år 2000.
Samtidig som Microsoft solgte Windows-versjonene nevnt over, utviklet de et helt nytt operativsystem som de kalte NT (New Technology). NT hadde en helt ny "kjerne", dvs. at de grunnleggende funksjonene var nye og kunne bedre utnytte ny maskinvare. NT 3.1 kom i 1993. I senere versjoner av Windows har operativsystemene fått andre navn, som Windows XP, Windows 7 og Windows Server 2012. Felles for alle disse er at de har en kjerne basert på NT.
Windows 2012 kan settes opp til å fungere som server (tjener) for en rekke forskjellige tjenester. De tradisjonelle funksjonene for fil- og printservere gjør det mulig for flere brukere i et lokalnett å dele lagringsplass og skrivere. Andre ressurser, som f.eks. faks og skanner, kan også deles ved hjelp av en Windows- server.
For å få en sentral base med brukernavn og passord kan vi legge alle brukerne på serveren ved hjelp av tjenesten Active Directory. En Windows Server 2012 kan også være en webserver, og vi kan også legge inn webapplikasjoner. En Windows-server kan altså fungere på forskjellige måter avhengig av behov. Vi skal se litt nærmere på forskjellige tjenester.
En filserver vil vanligvis betjene brukere i et lokalnett, dvs. et internt nett i en organisasjon som gjerne er geografisk avgrenset, men det vil også være mulig å få tak i en filserver via Internett.
Ved å knytte Windows-serveren til alle bedriftens skrivere får vi bedre kontroll på utskrifter. Ved å lage alle printkøer på serveren blir det enklere for brukerne å få oversikt over hvilke skrivere som er tilgjengelig. Det er også mulig å styre hvilke brukere som skal få lov til å bruke de forskjellige skriverne.
En Windows-server kan også fungere som en webserver. Vi kan legge ut alt fra enkle websider til avanserte webapplikasjoner. Vi kan sette opp en intern webserver som bare er tilgjengelig i lokalnettet i en bedrift. En slik løsning kalles ofte intranett. Det er også mulig å sette opp en ordinær webserver som er tilgjengelig på Internett.
Vanligvis kjøres programmene (applikasjonene) vi bruker, på vår egen PC. Når vi bruker en tekstbehandler som f.eks. Word, kjøres denne lokalt på PC-en vår. Noe programvare er bedre egnet til å kjøres på en server, dette gjelder spesielt programvare hvor flere personer skal ha tilgang til felles data. Dette kan f.eks. være et ordrelagersystem, regnskapsprogram eller kundesystem (populært kalt CRM, Custom Relation Management). Ofte vil dette være programvare som er tilpasset bedriften som bruker den.
Ofte vil applikasjoner som kjøres på en server, ha et webgrensesnitt og kalles da en webapplikasjon. Vi trenger da ikke å installere noe spesiell programvare hos brukerne.
Det finnes også gratis webapplikasjoner som er enkle å installere. Dette kan være alt fra bloggservere, webpubliseringsverktøy (CMS, Content Management System) eller webbasert bildegalleri.
Vi kan også kjøre standardprogramvare som f.eks. Word på serveren. Vi kan sette opp serveren slik at den kjører all programvare og omgivelser som skrivebordet for brukerne. Vi kaller gjerne denne funksjonen for terminalserver. Brukerne trenger da ikke å ha denne programvaren på sine lokale maskiner. Det er også mulig å bruke såkalte tynne klienter. Dette er en skjerm som kun har nødvendig maskinvare og programvare for å koble seg opp til en terminalserver.
Det er også mulig å sette opp enkeltprogrammer på terminalserveren. En bruker vil da kunne starte programmet som vanlig fra Start-menyen på sin egen PC selv om programmet ikke er installert lokalt. Det er også mulig å gjøre programmet tilgjengelig som en link på en webside. Når et slikt program startes opp, vil det oppleves som et "normalt", lokalt installert program for brukerne, men selve programmet kjøres altså på serveren.
Windows 2012 har støtte for å sette opp virtuelle maskiner. Det vil si at vi på en og samme fysiske server kan installere flere maskiner. Disse virtuelle maskinene trenger ikke nødvendigvis å kjøre Windows Server 2012, i prinsippet kan vi installere et hvilket som helst operativsystem som kan kjøres på en standard server med Intel-prosessor. Vi kan f.eks. ha en eldre versjon av Windows Server (2008), en installasjon av Windows 8 og en installasjon av Linux som kjører virtuelt samtidig på samme fysiske maskin.
Det er mange fordeler med å bruke virtuelle maskiner, noen av dem er:Ved å bruke teknologi fra virtuelle maskiner kan vi lage virtuelle skrivebord (desktop) for brukerne våre. Vi kan f.eks. lage Windows 8-skrivebord og legge inn den programvaren brukerne våre trenger. Ved å kjøre disse virtuelt på serveren vår blir det enklere å administrere klientmaskinene. Brukerne våre trenger da kun en fungerende nettleser for å kunne logge inn og kjøre den programvaren de trenger.
Teknologien for virtuelle skrivebord kalles gjerne VDI, Virtual Desktop Infrastructure.
De fleste nettverksfunksjoner i Windows 2012 er delt inn i såkalte roller. Vi vil i denne boka konsentrere oss om de viktigste funksjonene. Det er derfor noen roller vi ikke vil gå nærmere inn på.
Her er en kort oversikt over mulighetene vi har med de forskjellige rollene:
Denne rollen er sentral hvis man skal lage et lokalnett med fil- og printservere. Active Directory Domain Services (gjerne omtalt som AD) gjør det mulig å legge inn mange brukere i en sentral database. Se eget kapittel.
Rollen Application Server gjør det mulig å legge inn programvare som kjøres på serveren via nettverket, f.eks. webapplikasjoner. Se avsnitt ovenfor om applikasjonsserver og kapitlet om webserver.
DHCP (Dynamic Host Configuration Protocol) er en tjeneste som deler ut nettverksadresser og annen nødvendig nettverksinformasjon til maskiner i lokalnettet.
Rollen DNS er en tjeneste som oversetter nettverksnavn til nettverksadresser. Hvis vi f.eks. ønsker å gå på websiden nrk.no, vil det bli gjort en forespørsel i en DNS Server, og denne vil gi en adresse som f.eks. 160.68.205.231 som svar. Normalt vil vi ikke se nettverksadressene, men det er altså disse som maskinen vår bruker internt for eksempel for å finne fram til en webside.
Hyper V er en rolle som gjør det mulig å sette opp virtuelle maskiner på en Windows-server.
Denne rollen brukes for å administrere skrivere på en eller flere servere. Den gir også mulighet for å dele skrivere med Unix/Linux-maskiner. Hvis man har en skanner med nettverkstilknytning, kan denne deles ved hjelp av denne rollen.
Dette er rollen som gir mulighet for terminalserver-tjenester (se ovenfor).
Dette er webserveren for Windows. IIS (Internet Information Services) kan også brukes for å sette opp webapplikasjoner. Les mer i kap. 10.
Denne rollen kan brukes hvis man har mange PC-er som skal installeres. Med en slik tjeneste kan man starte opp en PC med blank harddisk via nettverket og få lastet ned et ferdig konfigurert oppsett med Windows og applikasjoner.
Følgende roller er for litt mer spesielle behovDenne rollen brukes for å håndtere forskjellige typer sertifikater. Et sertifikat kan f.eks. brukes for å logge inn på en server, kryptere mail og dokumenter eller lagre sikre websider (https). Det er ikke nødvendig å installere denne rollen for å bruke hovedfunksjonene i Windows 2012, så vi vil ikke gå nærmere inn på sertifikater i denne boka.
Dette er en rolle som gjør det mulig å gi brukertilgang mellom forskjellige organisasjoner. Hvis vi f.eks. har en bedrift som har en webside som krever pålogging, og de ønsker å gi tilgang til alle brukerne i en annen bedrift, kan ADFS være tingen. ADFS er f.eks. aktuelt hvis man ønsker å integrere sine egne brukere i Active Directory med tjenesten Office 365.
Dette er en rolle som har mye av den samme funksjonen som Active Directory Domain Services, men i en forenklet utgave. Den kan f.eks. være aktuell hvis man har en webapplikasjon som krever tilgang til en brukerdatabase. ADLDS er en tjeneste for spesielle behov
Denne rollen gjør det mulig å gi ekstra beskyttelse av dokumenter. På en normal filserver kan vi styre hvem som har tilgang til kataloger og filer, men hvis et dokument blir flyttet, kan det være at denne beskyttelsen blir brutt. Hvis en bruker f.eks. sender et dokument i mail eller lagrer det et annet sted, kan det være at uvedkommende får tilgang til det. Ved å bruke Active Directory Rights Management Services (AD RMS) kan vi styre tilgangen til dokumentet uavhengig av plassering. Vi kan også begrense kopiering fra dokumentet eller sette tidsbegrenset tilgang. AD RMS integreres med f.eks. Microsoft Office.
Ved å koble et faksmodem til en Windows-server, kan dette deles slik at alle brukerne i lokalnettet kan bruke det. Ved en slik løsning kan man f.eks. sende et dokument på faks direkte fra Word.
Denne rollen inneholder flere funksjoner i forbindelse med sikkerhet og nettverkstilgang. En viktig funksjon er mulighet for å sette opp en sikker forbindelse med VPN (Virtual Privat Network) slik at man kan få tak i en lokalnettserver og andre lokale tjenester via Internett.
En annen tjeneste er mulighet for å sette opp tilgangsregler (Policy) for nettverkstilgang. En slik tjeneste kan f.eks. brukes for å kontrollere hvilke maskiner som får lov å koble seg til et trådløst nettverk.
WSUS er en tjeneste hvor vi kan kontrollere Microsoft-oppdateringer for alle PC-er i nettverket vårt. Dette gjelder sikkerhets- og andre oppdateringer for Windows, Office og eventuelt andre Microsoft-program. Ved å ha en egen oppdateringsserver kan vi kontrollere hvilke oppdateringer som blir lagt inn, og vi kan også sjekke at alle PC-ene virkelig blir oppdatert.
Windows Server kommer i fire forskjellige utgaver. De fleste utgavene har de grunnleggende nettverksfunksjonene, men har ekstra funksjoner eller støtte for kraftigere maskinvare.
Dette er den enkleste utgaven av Windows-server. Den har alle de grunnleggende tjenestene som fil, print- og webserver, men den har en begrensning på 15 samtidige brukere og kan kun bruke maks. 32 GB RAM og ingen virtualisering. Dette er en rimelig utgave av 2012-serveren som normalt blir levert ferdig installert når man kjøper en liten server.
Dette er en rimelig utgave for mindre bedrifter. Det er støtte for maks. 25 brukere, 64 GB RAM og ingen virtualisering.
Dette er den vanligste utgaven av Windows-server. Her har vi alle de grunnleggende funksjonene for å sette opp en server for lokalnett eller Internett.
Datacenter-utgaven er i prinsippet lik standardutgaven, men det følger med lisens for et ubegrenset antall lisenser for virtuelle servere.
Hyper-V Server er en egen utgave av Windows Server som kun inneholder virtualiseringsfunksjonene. Den har ingen av de andre rollene til Windows- server. Til gjengjeld er den helt gratis og fri til å lastes ned.
Windows 2012 R2 krever en 64 bit prosessor for å kunne installeres. Både AMD og Intel har hatt støtte for 64 bit prosessorer fra ca. 2004, så de fleste PC-er og servere som er i bruk i dag, kan benyttes.
Windows 2012 kan faktisk installeres med så lite RAM som 512 MB, men man bør normalt ha mer. Hvor mye man faktisk trenger, er avhengig av antall brukere og hvilke tjenester som er installert. En funksjon som er minnekrevende, er virtuelle maskiner. Hvis man f.eks. har fem virtuelle maskiner med 3 GB hver seg, krever bare disse 15 GB.
Vi vil i dette kapitlet se nærmere på nettverksteknologi som TCP/IP, ruter, private nett og lignende. Vi vil også se litt nærmere på de praktiske sidene ved å sette opp et testnett, blant annet ved å sette opp en egen ruter. Som vi skal se, er det forskjellige alternativer for å sette opp et testnettverk, men vi vil her konsentrere oss om alternativ 1, to fysiske maskiner med ruter, samtidig som vi ser kort på mulighetene for å sette opp virtuelle maskiner.
Ved å bruke en liten, rimelig hjemmeruter eller trådløs ruter kan vi på en enkel måte få et privat nettverk som vi kan boltre oss på uten å forstyrre eksisterende nett. Vi vil fortsatt kunne ha tilgang til Internett gjennom ruteren.
Oppsett av en slik liten ruter vil variere avhengig av produsent, men framgangsmåten er ganske lik:Ofte er standard nettadresse til ruteren og passord skrevet på undersiden av selve boksen, ellers må vi se i manualen.
Hvis vi har kommet så langt, er ruteren i praksis ferdig konfigurert, men det er noen ting vi bør sjekke:TCP/IP er en protokoll som brukes på Internett. Vi kan si at TCP/IP er språket som datamaskiner snakker sammen med. Fordi Internett har fått en slik enorm utbredelse, er TCP/IP også blitt standard kommunikasjonsform på lokale nett.
Når vi kobler en PC til et nettverk, enten det er hjemme, på jobb eller skole eller andre steder, får vi normalt tildelt en IP-adresse og annen informasjon fra en server (DHCP-server, Dynamic Host Configuration Protocol). I noen tilfeller kan det være aktuelt å sette denne informasjonen manuelt.
Nødvendig informasjon for TCP/IP:Hvis vi ser nærmere på en IP-adresse og nettmaske, ser vi at den er delt opp i fire grupper med tall. Hver gruppe kan gå fra 0 til 255.
For å se hvordan nettmasken fungerer, skal vi regne om IP-adressen og nettmasken til binære verdier. Vi regner om hver gruppe for seg.
Som vi ser, passer det med 8 bit i hver gruppe.
Hvis vi skriver nettadressen og nettmasken over hverandre, er det lettere å se hvorfor det kalles en maske. Vi ser at det er 0 i masken i blokken til høyre. Disse bestemmer hvilke bit som er adressen i vårt nett. Samtidig bestemmer antall bit i masken som inneholder 0, størrelsen på nettet vårt. I eksemplet er det 8 bit med 0, dvs. at det er 256 adresser i nettet (2^8=256).
Fordi vi i vårt eksempel har 8 bit med 0 til høyre i masken, betyr det at vi har 256 (2^8=256) adresser i nettverket vårt, fra 192.168.1.0 til 192.168.1.255.
I et IP-nett vil alltid første og siste adresse være reservert. Første adresse 192.168.1.0 er adressen til selve nettet vårt og kan ikke settes på noen maskin.
Siste adresse 192.168.1.255 er reservert til broadcast, det vil si at hvis vi sender noe til denne adressen, vil alle maskiner i nettet vårt motta informasjonen.
Som regel vil den første brukbare adressen, 192.168.1.1, settes på ruteren i nettverket, men det kan også brukes andre adresser.
Hvorfor må vi dele opp i forskjellige IP-nett? Kunne ikke bare alle maskiner ha hver sin adresse?
Det er to hovedgrunner:Sikkerhet: Ved å skille ut et nett bak en ruter kan vi kontrollere hvem og hva som slipper inn på vårt nett. Dette gjøres med brannmurfunksjonen (Firewall) i ruteren.
Ytelse: Ved å dele opp i smånett kan vi begrense nettverkstrafikken i hvert nett. Et stort nett vil fort gå tregt eller stoppe helt opp.
Et privat nett er TCP/IP-nett med spesielle adresser som er laget for å brukes innenfor egne lokale nett. Slike private adresser kan kun brukes lokalt og er ikke gyldige adresser på Internett.
Følgende nett er reservert til privat bruk:| Class | Private Networks | Subnet Mask | Address Range |
|---|---|---|---|
| A | 10.0.0.0 | 255.0.0.0 | 10.0.0.0 - 10.255.255.255 |
| B | 172.16.0.0 - 172.31.0.0 | 255.240.0.0 | 172.16.0.0 - 172.31.255.255 |
| C | 192.168.0.0 | 255.255.0.0 | 192.168.0.0 - 192.168.255.255 |
Hvis en maskin på et privatnett skal kommunisere med en maskin på Internett, må kommunikasjonen gå igjennom en ruter som kan konvertere en privat IP- adresse til en som er gyldig på Internett. En slik konvertering kalles gjerne NAT (Network Adress Translation).
En ruter som bruker NAT, har gjerne én gyldig, eller offentlig, IP-adresse på WAN-porten (tilkoblingen til Internett). Alle maskinene som er koblet på den private IP-adressen, vil dele denne ene offentlige adressen.I praksis bruker alle hjemmerutere private nett med NAT, men også mange større rutere for bedrifter bruker denne løsningen. I motsetning til offentlige adresser kan samme private adresser brukes i flere nett.
Det er mulig å lage virtuelle maskiner og et virtuelt nettverk for å lage et testnett. Vi kan bruke vår egen maskin eller en dedikert ekstra maskin for å sette opp det virtuelle miljøet. En stor fordel med virtuelle maskiner er at vi kan ha forskjellige operativsystemer som kjører samtidig. Hvis vi f.eks. har en maskin med Windows 8 som har programvare for å sette opp virtuelle maskiner, kan vi uten problemer lage maskiner med Windows Server 2012, Windows XP og Linux som kan kjøres samtidig.
Det er noen ulemper ved å sette opp et virtuelt miljø i vårt tilfelle:Det anbefales å ha 4 GB RAM på maskinen hvis vi skal kjøre to virtuelle maskiner. Det kan være at det går med 2 GB. Prøv f.eks. å sette opp 600–700 MB på serveren og noe mindre på klienten. Resten av minnet trengs til operativsystemet på vår egen maskin.
ESXi er serverutgaven fra VMWare. Denne programvaren installeres på en ren server, den kjører ikke under noe annet operativsystem. ESXi kan også lastes ned og brukes gratis. Denne programvaren er litt mer omfattende å installere og krever at man bruker litt tid på å sette seg inn i den. Har man en ledig maskin med mye minne (16–32 GB), kan man uten problemer kjøre 20 og kanskje flere virtuelle maskiner på denne. ESXi har ikke noen innebygd NAT-funksjon, men vi kan sette opp en liten virtuell maskin som fungerer som ruter. Programvaren IPcop fungerer fint som en virtuell ruter.
For å lære om Windows Server bør vi sette opp et lite nettverk på egen hånd. Dette krever at vi som minimum har tilgang til to maskiner med nettverk mellom. Maskinene kan være fysiske eller virtuelle eller en kombinasjon. Nettverket vi bruker, bør være helt lokalt eller privat så vi unngår å komme i konflikt med eksisterende nettverk.
Ved å bruke en liten, rimelig hjemmeruter eller trådløs ruter kan vi på en enkel måte få et privat nettverk som vi kan boltre oss på uten å forstyrre eksisterende nett. Vi vil fortsatt kunne ha tilgang til Internett gjennom ruteren.
Ved å koble samme to maskiner i et lokalt nett som ikke er koblet til eksisterende nett, vil vi kunne gjøre omtrent det samme som alternativ 1,bortsett fra at vi ikke har internettilgang. Maskinene kan kobles sammen med en liten nettverksvitsj, eventuelt direkte med én kabel mellom to maskiner. (Hvis begge maskinene har Gigabit nettverksport, kan en vanlig nettverkskabel brukes; hvis ikke, må en snudd kabel brukes.) I praksis er det svært upraktisk å installere en server uten å ha tilgang til Internett.
Ved å installere gratis programvare, f.eks. Microsoft Virtual PC eller VMware Player, kan vi lage en virtuell maskin på vår egen PC. På denne virtuelle maskinen kan vi så installere Windows Server 2012 på samme måte som om vi installerer på en fysisk maskin. Vi kan så bruke vår egen maskin som klient for å teste ut serveren. Det er også mulig å lage to virtuelle maskiner slik at både server og klient kjøres virtuelt.
For å lage virtuelle maskiner på en PC bør vi ha minst 2 GB med minne.Hvis man er et sted hvor det brukes virtuelle maskiner fra før, er det kanskje mulig å få laget et par maskiner som kan brukes til serveroppsettet vårt.
Sett inn DVD eller minnepinne i serveren, eventuelt koble en ISO-fil til en virtuell maskin. Sørg for at maskinen kan starte fra DVD/USB ved å gå inn i oppstartsmeny eller BIOS på PC-en som skal være server. Framgangsmåten for å komme inn i disse settingene kan variere, men kan typisk være å trykke på F10, F12 eller Esc mens maskinen starter opp. Mange PC-er vil automatisk prøve å starte opp fra DVD eller USB.
Første valg er å velge språk, tastatur og tidsformat.
Nå kan vi velge hvilken versjon av Windows 2012 vi ønsker å legge inn. Hvis vi har kjøpt en lisens, må vi velge den versjonen vi har betalt for. Hvis vi legger inn en testinstallasjon som bruker demo-lisens (maks. 180 dager), står vi fritt til å velge.
Det er Windows Server 2012 R2 Standard (Server with a GUI) som brukes i denne omgang. GUI betyr at Windows får et grafisk grensesnitt som vi er vant til fra andre Windows-versjoner. Det er mulig å installere Server 2012 uten GUI og isteden administrere maskinen fra andre systemer. Dette kan være aktuelt hvis man har flere servere.
Upgrade brukes for å oppgradere en eldre Windows-installasjon, for eksempel Windows Server 2008. På en ny maskin velger vi Custom.
Vi kan nå velge hvilken disk vi vil installere Windows 2012 på (hvis det er flere disker i maskinen). Hvis vi velger disk 0, vil Windows bruke hele disken til C:. Ofte kan det være greit å dele opp en disk i partisjoner. Spesielt på en server kan det være lurt å dele opp harddisken i én systempartisjon for Windows og én eller flere partisjoner for brukerdata.
Trykk på New for å lage en partisjon. Minste anbefalte størrelse er 32 GB, men det er lurt å ta i litt for å ha plass til framtidige oppdateringer og utvidelser. Skriv inn størrelsen i MB. I eksemplet bruker vi 71680 MB for å få en partisjon på 70 GB (1 GB= 1024 MB) og trykk på Apply. Vi vil så få beskjed om at Windows kanskje vil lage ekstra partisjoner. Normalt vil vi få en "System reserved"-partisjon som Windows bruker internt. Marker nå partisjonen vi laget (som nå har blitt 69.9 GB fordi det gikk med 100 Mb til "System reserved"), og trykk på Next for å installere Windows. Den ubrukte plassen (Unallocated Space) kan vi ta i bruk senere.
Nå vil Windows installeres, noe som kan ta noen minutter. Windows vil så restarte maskinen et par ganger og konfigurere forskjellige ting uten at vi trenger å gjøre noe. Omsider vil maskinen starte med beskjed om at vi må bytte passord. OBS! Sett et passord som du husker!
Før vi går løs på å sette opp servertjenestene på serveren, bør vi gjøre noen små tilpasninger av Windows.
1. Tilpass skjermoppløsning. Det er viktig å ha gode arbeidsomgivelser, så skjermoppløsningen bør være optimal. Sett oppløsningen så høyt som skjermen er laget for. Det kan være at Windows 2012 ikke har driver for skjermkortet, så da kan man laste ned driver fra produsenten. Eventuelt kan man prøve å bruke driver for Windows 7, 8 eller Vista 64 bit.
2. Tilpass Windows Explorer. Når man jobber på en server, kan det være aktuelt å endre noen innstillinger: Start Windows Explorer.
3. Hvis man bruker en virtuell maskin, bør man installere verktøy for integrasjon av den virtuelle maskinen og maskinen man sitter på, f.eks. VMware Tools. Et slikt verktøy er ikke påkrevd, men gjør det enklere å skifte mellom maskinene.
Server Manager starter automatisk når vi logger inn på serveren. Ved å velge Local Server kan vi endre noen grunnleggende egenskaper (Properties) på serveren vår.
Computer name: Her kan vi endre på navnet på maskinen vår. Navnet vi setter på serveren, vil være synlig for brukerne i nettverket vårt, så vi bør bruke et fornuftig navn. I denne boka vil serveren hete Server1.
Workgroup: Dette kommer vi tilbake til i kapitlet om Active Directory.
Windows Firewall: er en sikkerhetsfunksjon som kontrollerer hva slags nettverkstrafikk som slipper igjennom til serveren vår. I utgangspunktet er alt stengt, og bare trafikk til de tjenestene som brukes på serveren, slipper inn.
Firewall er skrudd på som standard, og vi kan bruke de innstillingene som er satt, inntil videre.
Remote Desktop: gjør det mulig å fjernadministrere serveren vår. Vi kan gjerne skru den på nå, så kommer vi tilbake til hvordan vi bruker den i kapitlet om drift.
NIC Teaming (Network Interface Controller): kan brukes for å slå sammen flere nettverksforbindelser. Har man en litt kraftig server, er det gjerne to eller flere nettverksporter i maskinen. Man kan også kjøpe ekstra nettverkskort og sette i maskinen.
Det er to hovedfunksjoner i NIC teaming. Med Load balancing kan man fordele nettverkstrafikken på flere nettverksporter. Man kan f.eks. få en båndbredde på to Gb ved å slå sammen to 1 Gb nettverksporter.
Den andre funksjonen er Failover. Hvis en nettverksforbindelse feiler, kan trafikken automatisk fortsette på den andre.
Ethernet: Her kan vi sette adressen til serveren vår. Adressen til serveren vår er nå utdelt av ruteren. Vi ønsker isteden å sette en fast adresse her:
Klikk på adressen, og høyreklikk på Ethernet og velg Properties. Velg så Properties (eller dobbeltklikk) på TCP/IPv4.
Nå kan vi skrive inn de nødvendige verdiene for IP-adresse, subnettmaske, Default gateway (ruter) og Preferred DNS server. Kryss gjerne av for Validate settings upon exit slik at det vi skriver inn, blir kontrollert.
Windows Update, Last Installed Updates og Last Checked for updates gjelder alle oppdateringsystemet for Windows. Serveren vil i utgangspunktet settes til automatisk å installere sikkerhetsoppdateringer til Windows. Det er alltid viktig å sørge for at operativsystemet vi bruker, er oppdatert. Dette gjelder både sikkerhetsoppdateringer som kan forhindre hackerangrep, og feilfikser som retter opp andre typer feil.
Vi velger derfor å la serveren stå til automatisk oppdatering. Hvis vi ønsker å endre tidspunktet når oppdateringer kjøres, kan vi gå inn på Change settings og velge Updates will be automatically installed during the maintenance window.
Det er viktig å være klar over at noen oppdateringer krever en omstart av maskinen. Hvis Windows Update skjer automatisk, kan vi altså risikere at serveren blir restartet om natten. Hvis vi har noen tjenester på serveren som krever at den er tilgjengelig om natten, må vi velge en annen innstilling. Vi kan f.eks. velge Download updates but let me choose whether to install them. Det kan også være at vi kjører sikkerhetskopiering av serveren om natten. Vi må da tilpasse tidspunktene for sikkerhetskopiering og automatisk oppdatering for å unngå at sikkerhetskopieringen blir avbrutt av en restart.
Windows Error Reporting: Vi kan velge om og hvordan serveren vår sender feilmeldinger til Microsoft.
Customer Experience Imorovement Program: Her kan vi sette opp om vi ønsker å sende anonym brukerstatistikk til Microsoft.
Begge disse ovenstående funksjonene er valgfrie, de har ingen betydning for funksjonaliteten til serveren.
IE Enhanced Security Configuration: Som standard er det ekstra streng (Enhanced) sikkerhet for Internet Explorer i Windows 2012. Dette gjøres for å unngå å bli smittet fra skumle websider. En eventuell slik smitte kan få store konsekvenser for en server med mange brukere.
På vår server som kun brukes for testing og opplæring, kan det være greit å kunne bruke webleseren som normalt. OBS: Disse innstilingene gjelder kun Internett Explorer. Hvis du installerer en annen nettleser, så fungerer den som normalt.
Time zone : Hvis vi valgte Norge under første del av installasjonen, skal tidssonen være riktig (Amsterdam, Berlin osv. er i samme tidssone som Norge).
Product ID: Hvis vi har kjøpt en lisens på Windows Server 2012, kan vi registrere Produkt ID her. Hvis maskinen er på nett og vi skriver inn en korrekt kode, vil vi se at den blir aktivert. Hvis vi bruker en demoversjon av Windows, trenger vi ikke å skrive inn noen kode. For at den 180 dagers prøveperioden skal bli gyldig, må vi sørge for at maskinen blir aktivert ved å koble den til en fungerende internettforbindelse.
Active Directory Domain Services (AD) er en katalogtjeneste som brukes for å registrere brukere og ulike ressurser i nettverket. Vi kan sammenligne Active Directory med en katalog vi kjenner godt fra før, nemlig telefonkatalogen. En telefonkatalog har en enkel, men viktig funksjon. Vi kan slå opp på navn på personer eller bedrifter og finne telefonnummer og adresse. Dette er også hovedfunksjonen til Active Directory. Alle brukere, servere, skrivere osv. i nettverket er registrert i Active Directory. Dermed er det enkelt å slå opp og finne informasjon om dem.
Den viktigste funksjonen til AD er at den inneholder en sentral base med brukernavn og passord. Det er nok å registrere brukere én gang selv om vi har mange maskiner og servere. AD er laget for å kunne brukes i store nettverk og har derfor noen funksjoner for å dele opp nettet.
Når vi tar i bruk AD, blir det opprettet et domene som er en måte å navngi og organisere en gruppe med brukere og maskiner på. I vårt eksempel i denne boka vil vi lage domenet mittdomene.no. Som vi ser, ligner dette domenenavnet på en internettadresse, og det er faktisk det samme. AD bruker navnetjenesten DNS som brukes for alle maskiner på Internett. Når vi lager et AD-domene, må vi ha minst en server (helst flere) som er domenekontroller.
Hvis vi har et stort nettverk, kan det være ønskelig å dele det opp i flere domener. En måte å gjøre det på er å lage underdomener til hoveddomenet, eller root-domenet, slik at vi får en trestruktur. I vårt eksempel kunne vi f.eks. laget underdomenene avdeling1.mittdomene.no og avdeling2.mittdomene.no
En skog består som kjent av flere trær, og slik er det også i AD. Hvis det er ønskelig å lage nye domener med forskjellige navn, kan vi lage flere AD-trær og plassere dem i samme skog. Vi kan f.eks. lage domenet nyttdomene.no og plassere dette i samme skog som mittdomene.no.
Så lenge domenene våre er i samme skog, kan vi dele ressurser på tvers av domenene. En bruker fra mittdomene.no kan få tilgang til dokumenter på en server som hører til nyttdomene.no.
Det er vanlig å ha minst to servere for et domene. Dette gir oss en sikkerhet mot feil. Hvis en server stopper opp, har vi fortsatt tilgang til hele brukerdatabasen fra den andre. AD sørger selv for at alle serverne i domenet blir oppdatert, vi sier gjerne at AD replikerer mellom domenekontrollerne.
I vårt eksempel skal vi bruke AD og lage et domene. I vårt testnett skal vi bruke ett domene, så vi trenger ikke å tenke på organisering av trær og skoger eller underdomener. Det gjelder også for de fleste aktuelle nettverk under norske forhold. Det er kun i store nettverk det er aktuelt å bruke flere domener.
Vi bruker Server Manager for å legge til rollen Active Directory Domain Services. Hvis Server Manager ikke er startet automatisk, finner vi den i Start- menyen, eller vi kan klikke på ikonet for Server Manager (til høyre for startknappen).
I Server Manager er det flere steder vi kan starte funksjonen Add Roles and features, f.eks. i på forsiden under Configure this local server eller Manage-menyen.
Vi får først opp et bilde som ber oss sjekke tre ting før vi legger til en rolle:Denne sjekklisten kommer fram hver gang vi legger til en rolle, så vi kan nå krysse av for Skip this page by default.
Deretter må vi velge Installation type. Role based er for å installere på en enkelt maskin og er det valget vi må gjøre. Remote Desktop Services Installation benyttes for å installere på virtuelle maskiner.
Når vi trykker på Next, får vi valget Server Selection. Vi velger vår server Server1.
Under Server Roles kan vi nå krysse av for den rollen vi ønsker. Når vi krysser av for Active Directory Domain Services, får vi beskjed om at vi må ta med noen Features som er nødvendig for Active Directory. Dette er nødvendige administrasjonsverktøy, så det er bare å trykke på Add features.
Vi får så mulighet for å velge flere features, men vi går bare videre nå. Vi får så opp en side med informasjon (Things to Note):Til slutt får vi beskjed om tjenester for DFS (Distributed File System) blir lagt inn. Dette er bare aktuelt å bruke hvis vi har flere servere.
Vi får så et bilde for å bekrefte valgene våre, og vi kan trykke på Install.
Vi kan lukke vinduet mens de tjenestene vi har valgt, installeres.
Når installasjonen av AD er ferdig, vil vi få et utropstegn på Notifications (Flagget) i Server Manager.
Vi må nå velge Promote this server to a domain controller for å gjøre ferdig installasjonen av AD.
Vi får så valg om vi vil koble oss til en eksisterende domene eller skog (forest). Vårt nett inneholder ingenting fra før, så vi må lage en ny skog (Add a new forest).
Vi må deretter skrive inn Root Domain name. I vårt eksempel velger vi «mittdomene.no». Les mer om valg av domenenavn i tekstboksen.
Vi må så velge Forest – og Domain Functional Level. I vårt nettverk skal vi ha Windows 2012 R2 server eller nyere, så vi velger dette nivået. Vi får da de nyeste funksjonene i nettet vårt.
Vi må passe på at Domain Name System (DNS) server er krysset av.
Global Catalog må også være med.
Directory Service Restore Mode password brukes kun hvis vi får feil i AD-databasen, slik at vi ikke får logget inn med noen annen bruker. Det er liten fare for at vi får en slik feil, men desto viktigere å skrive opp og ta vare på passordet hvis vi skulle få bruk for det.
Har vi andre servere med eldre Windows-versjoner, f.eks. Windows 2008, må vi velge Functional Level som passer til disse. Det er mulig å endre til et høyere nivå i etterkant, men det er ikke mulig å endre til et lavere nivå. Hvis det finnes servere i nettet fra før, er det bedre sette et lavt nivå hvis man er usikker.
Vi får beskjed om at systemet ikke klarer å kommunisere med parent zone, det vil si .no-domenet. Dette er naturlig i og med at dette er et offentlig domene som vi ikke har mulighet til å gjøre endringer i. Dette har ingen betydning så lenge vi holder oss til vårt lille lokalnett. Les mer om domener i tekstboksen valg av domenenavn.
På siden Additional Options vil vi få et forslag på Netbios navn. Dette er en kortversjon av det fulle domenenavnet mittdomene.no. Vi kan endre på Netbiosnavnet hvis vi ønsker, men normalt vil det foreslåttte navnet være greit.
Vi får så spørsmål om plassering av database, logfiler og SYSVOL. Vi kan endre plassering til en annen disk hvis det er behov.
Vi får så en oppsummering av de valgene vi har gjort, og kan så trykke på Next for starte selve installasjonen av domenet vårt.
Til slutt vil det bli kjørt en Prerequisites Check som sjekker at forutsetningen for å installere Active Directory er til stede. Vi vil i vårt tilfelle få to advarsler. Den første angående sequrity settings er bare aktuell hvis vi ønsker å koble maskiner med veldig gamle Windows-versjoner til serveren vår. Den andre advarselen er DNS-problemet som vi fikk beskjed om tidligere, men som altså ikke har betydning for oss.
Systemet vil så jobbe en stund. Det trengs en restart til slutt.
Ved den første oppstarten av maskinen som domenekontroller vil det foregå noen siste konfigurasjoner, så maskinen vil starte tregere enn normalt.
Vi har nå en fungerende nettverksserver og kan gå videre og lage brukere og koble andre PC-er (klienter) til serveren vår. Les om dette i et senere kapittel.
Første gang vi logger inn etter å ha installert Active Directory, er det mulig at vi må bytte bruker. Kontoen vi brukte tidligere, Server1\Administrator, vil ikke fungere nå. Vi må bytte til Mittdomene\Administrator og logge inn med samme passord.
Hvis vi nå ser på Server Manager etter at AD-rollen er installert, vil vi se at vi har fått to nye valg, AD DS og DNS. Hvis vi markerer AD DS, får vi informasjon om Active Directory.
Dette er et utdrag av loggen på serveren vår. Vi ser de nyeste meldingene (events) som har noe med AD-rollen å gjøre. Det er ikke uvanlig å få noen advarsler eller feilmeldinger i log-en rett etter at vi har lagt til en ny rolle. Ofte er dette feil som Windows selv ordner opp i, men vi bør følge med om det kommer feil som gjentar seg over tid. Les mer om Event Viewer i kapitlet om drift av Windows-server.
Her er en oversikt over systemtjenester (Services) som hører til rollen. Vi kan se hvilke tjenester som kjører, dvs. vi kan se om de er startet eller stoppet. Til vanlig trenger vi ikke gjøre noe her, men det kan være aktuelt å stoppe og starte tjenester i forbindelse med feilsøking.
Hvis vi velger TASKS og Start BPA Scan, vil vi få fram en del anbefalinger for rollen. I vårt eksempel får vi advarsel om at det bør være minst to domenekontrollere, og at det bør settes opp beskyttelse mot sletting. Vi får også en Error om at serveren ikke er satt opp til å synkronisere klokka fra en ekstern kilde. Vi vil se på dette senere i boka.
Her får vi et raskt overblikk over belastningen på serveren. Vi kan få mer detaljert informasjon ved å starte et eget Performance-program (se Tools- menyen). Vi kommer tilbake til dette senere i boka.
Etter at vi har installert AD, kan vi begynne å lage brukere i nettet vårt. En bruker eller brukerkonto (user account) består av et påloggingsnavn med et tilhørende passord. I tillegg kan vi legge inn ekstra informasjon som fullt navn, telefonnummer, adresse osv.
Programmet som vi kan bruke til å utføre de fleste operasjoner på brukere heter, Active Directory Users and Computers. Vi kan starte dette fra Server Manager ved å høyreklikke på Serveren vår under AD DS eller å velge det fra Tools- menyen. Alternativt kan vi starte det direkte fra Windows ved å trykke på Windows-tasten og velge Administrative Tools. Vi kan også søke opp kommandoen ved å trykke på Windows – ac, dvs. de første bokstavene i kommandoen.
Når vi starter Active Directory Users and Computers, kan vi bl.a. se domenet vårt, mittdomene.no. Ved å klikke på dette og gå videre til "Users" kan vi se hvilke brukere og grupper som er registrert. (Klikk på kolonnebetegnelsen Type for lettere å kunne skille brukere og grupper.) Vi vil ganske snart komme tilbake til hva grupper er.
Vi ser at det kun er to brukere, Administrator, som vi nå er logget inn som, og Guest. Brukeren Guest er markert med en liten pil, dette betyr at den er deaktivert (disabled).
Vi kan lage en bruker, for eksempel Morten Hansen:Høyreklikk på Users og velg New – User.
Vi kan så skrive inn navn og brukernavn (Logon name). Brukernavn er gjerne et kortnavn vi selv velger. Det kan f.eks. være initialer eller som i eksemplet her: fornavn + første bokstav i etternavn.
Klikk så på Next for å sette passord.
Vi får noen valg i forbindelse med passord:Når vi velger Next, kan det være at vi får denne beskjeden: Det kreves normalt at passordet skal ha en viss vanskeliggrad (password policy requirements).
Vi kan selv endre reglene for passordene, men nå vil vi bruke standardinnstillingene, som gjerne er:Vi kan nå se nærmere på brukeren vi har laget, ved å dobbeltklikke på Morten Hansen. På General-fanen kan vi legge inn mer informasjon om personene vi har laget en bruker til. Tilsvarende kan vi legge inn informasjon på fanene Address, Telephones og Organization.
På Account-fanen kan vi sette forskjellige ting på selve brukerkontoen:Vi kan samle flere brukere i en eller flere grupper. Vi bestemmer ofte hvilken tilgang brukerne skal ha til nettverksressurser, ved hjelp av gruppene. En gruppe tildeles forskjellige rettigheter. Medlemmene i en gruppe vil da få de samme rettighetene og den samme tilgangen til ressurser.
Vi kan velge hvilke diskområder, skrivere osv. en gruppe skal kunne benytte. Vi deler inn gruppene etter hvilke brukere som naturlig hører sammen.
Skal vi for eksempel definere grupper for en skole, kan disse være aktuelle:Vi har tre forskjellige gruppetyper: globale grupper (Global Groups), lokale grupper (Domain Local Groups) og universelle grupper (Universal Groups). De forskjellige typer av grupper har først og fremst betydning hvis vi har flere domener og vi ønsker å sette rettigheter på tvers av domener.
Lokale grupper: kan inneholde andre grupper i tillegg til grupper og brukere fra andre domener, men kan kun brukes på lokalt domene.
Globale grupper: kan kun inneholde brukere og globale grupper fra eget domene, men kan brukes i alle domener.
Vi bruker typisk globale grupper til å dele inn brukerne, mens vi bruker lokale grupper når gruppene skal inneholde andre grupper.
Vi oppretter først brukerne, deretter de globale gruppene og til slutt de lokale gruppene.
Universale grupper: kan inneholde brukere, globale grupper og universale grupper fra alle domener. Universale grupper kan brukes i alle domener. Denne gruppetypen krever større ressurser på server og nettverk, så den bør bare brukes hvis vi virkelig trenger den.
Har vi kun ett domene, kan vi holde oss til globale og lokale grupper. For å lage en gruppe kan vi høyreklikke på Users og velge New – Group. Vi kan velge Group scope. En global gruppe er standardvalget.
Vi skal lage en gruppe for en klasse som vi kaller Kull 2018-19. Denne gruppen skal kun inneholde elever som går i denne klassen, altså kun brukerkontoer. Vi velger derfor en global gruppe.
Vi ser at vi også kan velge Group type, enten Security eller Distribution. En distribusjonsliste brukes i forbindelse med mail (e-post).
For å legge brukere inn i en gruppe kan vi gjøre dette på forskjellige måter:Vi ser at det er mange grupper som er definert under Users og Builtin. Mange av disse gruppene er for å kunne gi brukere administratortilgang til enkelte tjenester på serveren eller i domenet. Hvis vi f.eks. legger en bruker til gruppen DNSAdmins, vil vedkommende kunne administrere DNS-tjenesten i domenet vårt. Det er bare i store nettverk at det er behov for å dele opp administrasjonen av tjenestene, normalt vil en eller flere personer ha administratortilgang slik at de kan gjøre alt på serveren.
De mest aktuelle gruppene er:Hittil har alle brukere og grupper vi har sett på, ligget under Users. Vi har også andre områder som Builtin og Computers. Disse områdene kalles Organizational Units eller bare OU. Ved å høyreklikke på mittdomene.no og velge New → Organizational Unit, kan vi kan lage nye OU-er. Når vi har laget en ny OU, kan vi klikke og dra en eller flere brukere over i den nye OU-en.
OU-er brukes til å organisere brukere og maskiner. Ofte er det naturlig å følge strukturen i den organisasjonen nettverket skal brukes. Hvis vi f.eks. ser på en skole, kan vi lage OU-er for klasser, lærere og administrasjon.
Det er viktig at vi ikke blander sammen OU-er og grupper. En gruppe brukes til å styre tilgang til f.eks. filområder og skrivere. Disse gruppene heter også Security groups.Bruk av OU-er gir oss en god oversikt hvis det er et stort nettverk. Vi kan også bruke en funksjon som kalles Group Policy, i forbindelse med en OU for å styre innstillinger på maskiner eller brukerkontoer.
En bruker kan ligge i kun én OU, men kan være medlem av flere Security groups.
Hvis vi prøver å slette en OU, vil vi få beskjed om at dette ikke er mulig. Dette er en ekstra beskyttelse for at vi ikke skal slette noe ved et uhell. En OU kan inneholde tusenvis av brukere og maskiner i en stor organisasjon.
For å slette OU-en må vi gjøre følgende:Det kan være vanskelig å skille grupper og OU-er i begynnelsen. Grupper brukes til å gi tilgang til filområder, skrivere og andre enheter. En bruker kan være medlem i flere grupper. En lærer kan for eksempel være medlem av følgende grupper: Domain Users (alle brukere), lærere, ansatte, prosjekt og sensur2015. Denne læreren vil da få tilgang til de resurser som disse gruppene er tildelt.
Har vi et nettverk hvor det skal lages mange brukere, trenger vi noen hjelpemidler for å få opprettet brukerkontoer.
Hvis det ikke er altfor mange brukere som skal opprettes, kan vi opprette en standardbruker eller en mal som kan kopieres.
Vi kan se nærmere på hvordan vi lager en slik mal:Når vi skal lage en ny konto for en elev, kan vi høyreklikke på standard elev og velge copy. Vi kan så skrive inn navn, brukernavn og passord.
Vi kan også sette opp malbrukeren slik at vi automatisk får opprettet brukerens hjemmeområde og profilområde. (Du bør vente med å teste dette etter å ha gått igjennom kapitlet om fildeling.)
Adressen til Profile og Home folder skrives da på denne måten:
\\server1.mittdomene.no\Home\%username%
Trikset her er å skrive %username%. Når vi senere lager en bruker ved å kopiere standardbrukeren, f.eks. Petter Pettersen med brukernavn perp, vil %username% erstattes med perp.
Skal man lage veldig mange brukere, må man ha et skript som kan generere brukere. Skriptspråket i Windows Server heter Powershell. Dette er et kommandolinjemiljø og skriptspråk hvor man kan administrere alt på en Windows-server. Powershell er et ganske omfattende system og kan være litt tungt å sette seg inn i, så vi vil se på et annet alternativ for å lage brukere.
Kommandoen net kan brukes for å lage brukere, for eksempel slik: net user lars Passord987 /add /fullname:"Lars Ottesen"
Denne kommandoen vil lage brukeren lars med passord "Passord987".
Skriv net /help eller net user /help for å se flere muligheter med denne kommandoen.
Vi skal nå se hvordan vi gjør filer og skrivere tilgjengelig via nettverket for andre maskiner og brukere. Vi gjør dette ved å dele ut (share) kataloger og skrivere. Vi vil også se hvordan vi kobler en PC til serveren slik at vi kan bruke ressursene der.
Vi vil først legge til fil- og printserverrollene. Vi gjør dette ved å gå til Server Manager og velge Add Roles fra Manage-menyen.
Under valget File and Storage services har vi allerede det vi trenger, men vi må ta med Print and Document Services.
Vi får så opp et bilde med Things to Note. Her får vi beskjed en del ting vi må passe på. Dette går i hovedsak ut på at brukerne må være lokal administrator for å installere drivere av Type 3. Denne typen drivere må også legges ut i 32 bit varianter hvis vi har slike klienter.
Vi får så spørsmål om hvilke services vi ønsker for Print and document. Til vårt bruk holder det med Print server.
Velg så Next og deretter Install.
Vi kan nå klikke på de to nye rollene i Server Manager for å få oversikt over dem, tilsvarende det vi gjorde for AD-rollen.
Felles: Dette området skal alle brukere kunne se og kopiere filer fra (lesetilgang). I noen kataloger kan det være aktuelt at noen brukere har skrivetilgang.
Apps: Her skal vi legge ut programvare (applikasjoner), enten ferdiginstallert eller som installasjonsfiler. Alle brukere skal ha lesetilgang, og enkelte brukere skal også kunne legge ut filer her (dvs. skrivetilgang).
Home: Her skal hver bruker ha tilgang til sin private katalog. Det er kun den enkelte bruker (og administrator) som skal ha tilgang til katalogen. Et slikt område kalles gjerne Home Folder, eller hjemmeområde. Vi gir brukerne full tilgang til hjemmeområdet slik at de eventuelt selv kan gi andre brukere tilgang til sitt område.
For å dele en katalog gjøres dette direkte fra Windows Explorer (Utforsker):C:\felles.Administrator får automatisk skrivetilgang med mindre vi fjerner denne. Legg merke til at vi gir tilgang til grupper (ikke OU-er). Dette gjør det enklere å administrere tilgangen. Bare unntaksvis gir vi tilgang til enkeltbrukere.
Dette sharet vil nå ha adressen \\server1\felles eller \\server1.hiof.no\felles.
Vi kan teste sharet ved å skrive inn adressen i Windows Explorer.
Vi kan også skrive inn adressen til kun serveren \\server1 og få listet opp alle share som er tilgjengelig.
Nå kan vi lage et share for Home på tilsvarende måte. Vi gir nå Domain users (dvs. alle brukere unntatt guest) lesetilgang til dette området. Hver enkelt bruker skal ha skrivetilgang til sin private katalog (hjemmeområde) som ligger som underkataloger til Home. Hvis vi oppretter nye brukere (eller endrer på eksisterende) og skriver inn adressen til hjemmeområdet (Home Folder), vil rettighetene til det private området automatisk bli satt riktig for den aktuelle brukeren.
Vi kan sjekke at rettighetene til en bruker er riktig, ved å høyreklikke på katalogen til en bruker og velge Properties → Security. Vi kan nå se hvilke brukere og grupper som har rettigheter til katalogen, og hva slags rettigheter de har. For å få litt bedre oversikt kan vi velge Advanced, og vi får en oversikt.
Vi ser her at noen rettigheter er arvet fra (Inherited from) katalogen over (Home), mens andre er satt direkte (None) på brukerens katalog, i dette tilfellet NilsN.
Vi ser at Nils Nilsen og Administrator har skrivetilgang, mens Domain Users har lesetilgang. Tilgangen for Domain Users er i dette tilfellet feil, vi ønsker ikke at alle brukere skal kunne lese innholdet i andres hjemmeområder.
Vi kan endre dette på følgende måte:Dette betyr at alle kan lese katalogen Home, men de får ikke tilgang til underkataloger bortsett sin egen.
Som vi ser, er det mange muligheter for å sette rettigheter for å styre tilgang til kataloger. Hvis man ikke passer på, er det lett å gå surr i rettighetene. Vi bør derfor passe på at vi har en god struktur på gruppene våre, katalogene og hvilke rettigheter vi setter.
Hvis vi er i tvil om hvilke rettigheter som gjelder for en bruker på en bestemt katalog, kan vi sjekke tilgangen på denne måten:Som vi ser, er det litt variasjon i detaljnivået på rettigheter avhengig av hvor vi ser på dem: Når vi lager et share med "share with"-funksjonen, kan vi kun velge Read eller Write. I de aller fleste tilfeller er disse to valgene tilstrekkelig.
Går vi på Properties → Security, ser vi følgende rettigheter:Velger vi Modify, vil alle andre rettigheter bortsett fra Full control bli valgt og brukeren får skrivetilgang.
Velger vi Read & execute, vil List folder content og Read også bli valgt, og brukeren får lesetilgang.
Ser vi under Advanced, vil vi se at rettighetene er enda finere inndelt. Det er sjelden vi har bruk for disse ved normal fildeling, så vi vil ikke gå inn på disse.
Opprett sharet Apps med lesetilgang til alle brukere og skrivetilgang til administratorer.
Prosjekt.Nå vil gruppen Prosjekt ha skrivetilgang, mens elever og lærere vil ha de samme rettighetene som i felleskatalogen (fordi de arves). Ved å legge de aktuelle elevene inn i denne gruppen vil de få skrivetilgang.
Det kan jo være aktuelt å fjerne noen rettigheter, f.eks. at alle elever skal ha lesetilgang. Dette kan gjøres på to måter: Skru av arving av rettigheter eller krysse av for Deny på de rettighetene vi vil fjerne.
For å stoppe arving til underkatalogen Prosjekt må vi velge Advanced under Security og Disable inheritance. Vi får da spørsmål om Convert eller Remove. Velger vi Convert, vil rettighetene fra nivået over kopieres og settes direkte på prosjektfolderen, slik at vi fritt kan redigere dem. Velger vi Remove, fjernes alle rettigheter, og vi kan legge til nye rettigheter.
En enklere metode kan være å krysse av for Deny på de rettighetene vi ikke ønsker skal arves. Ulempen med dette kan være at rettighetene blir litt uoversiktlige.
\\server1.mittdomene.no\Home\%username% på Profile → Home folder.Kontroller at katalogene har blitt opprettet under Home-katalogen.
Hvis vi skal gjøre skrivere tilgjengelig i nettverket vårt, kan vi lage skriverkøer på serveren vår som sørger for at flere brukere kan dele en skriver. Skriverkøen vil også sørge for at utskriftene blir sendt til skriveren når den er klar, slik at brukernes PC-er blir avlastet for denne jobben.
Det finnes flere ulike måter å koble en skriver til nettverket vårt på.
Den enkleste og raskeste løsningen er å bruke en skriver med innebygd nettverkskort. Mange skrivere har i dag enten innebygd nettverkskort eller ledig kortplass, slik at vi kan kjøpe og installere et nettkort selv.
Alle datamaskiner i et nettverk kan skrive ut direkte på en skriver som er knyttet til nettet, men det er enklere å la utskriftsjobbene gå via en Windows- server. Da slipper vi å installere den nødvendige programvaren for å kommunisere med skriverne hos alle klientene, og vi får alle de andre fordelene som følger med det å la serveren ta seg av utskriftsjobbene.
De fleste typer skrivere kan kobles direkte til serveren ved hjelp av USB-tilkobling. Skriveren kan deretter gjøres tilgjengelig for andre PC-er over nettet (sharing). Dette er en rimelig måte å koble en skriver til nettet på, men den må da plasseres i nærheten av serveren.
I et nettverk med Windows-klienter kan en skriver som er koblet til en arbeidsstasjon, gjøres tilgjengelig for andre brukere av nettet. Ulempen med denne løsningen er at maskinen som skriveren er koblet til, må være slått på for at skriveren skal kunne brukes. Hvis skriveren blir brukt mye av andre, vil dessuten belastningen på datamaskinen bli forholdsvis stor.
En Windows-klient fungerer stort sett like greit som en Windows-server når det gjelder utskriftstjenester, men det ligger en begrensning i at det maksimalt kan være ti nettverksforbindelser mot én arbeidsstasjon samtidig.
Vi kan koble en skriverserver direkte til nettet. En slik skriverserver er en frittstående boks som har en nettverkstilkobling og én eller flere USB-porter. Dette betyr at vi kan ta en vanlig skriver med USB-tilkobling og koble til hvor som helst i nettverket. Hvis vi ønsker det, kan vi også få skriverservere for trådløst nettverk.
Hvis man skal dele en USB-skriver, vil installasjonen normalt gå automatisk når man kobler den til serveren første gang. Da kan man gå til Properties → Sharing og lage en skriverdeling der. (Se lenger ned i eksemplet.) I vårt eksempel skal se på hvordan vi kan sette opp og dele en laserskriver som er koblet direkte på nettverket.
Først må vi sørge for at skriveren settes opp med en gyldig IP-adresse. Dette vil variere med produsent og type skriver, men har skriveren et display, kan dette gjerne gjøres direkte på skriveren. Vi kan alternativt la skriveren bruke DHCP, men vi må da sette en fast adresse i DHCP-serveren. I vårt eksempel setter vi IP-adressen på skriveren til 192.168.1.5.
Vi kan sette opp skriveren fra Devices and Printers fra startmenyen. Dette fungerer på samme måte som i Windows 7 og 8.
I vårt eksempel vil vi heller sette opp skriveren i Server Manager:Skriveren vår er koblet direkte på nettet, så vi skal legge til en TCP/IP-skriver. Det finnes også en søkefunksjon, men den kan bare brukes på skrivere som er koblet på samme nett som serveren.
Skriv så inn IP-adressen vi satte på skriveren, og gå videre. Programmet vil nå sjekke at den klarer å kommunisere med skriveren, og prøve å finne ut hvilken driver den skal bruke.
Vi kan så velge navn på skriveren og om vi ønsker å dele den.
Hvis den ikke finner driver automatisk, kan vi velge en manuelt. Trykk eventuelt på Windows Update for å få fram flere drivere. Hvis vi har drivere på CD eller som vi har lastet ned fra produsenten av skriveren, kan vi trykke på Have disk.
Hvis vi ikke finner en driver, kan vi prøve å velge en skrivermodell med lignende modellbetegnelse.
Skriveren er nå klar til bruk.
Det kan være aktuelt å gjøre noen flere innstillinger på skriveren. Dette gjøres ved å høyreklikke på skriveren og velge Properties.
Under Sharing kan vi krysse av for List in the directory, dvs. AD. Dette kan være aktuelt når brukeren skal finne fram til skrivere på nettet, spesielt i større nett.
Under Advanced kan vi gjøre en del innstillinger på hvordan printjobbene blir behandlet i køen. Vi kan også gå inn Printing Defaults og sette forskjellige ting som utskriftskvalitet og tosidig utskrift. Valgene her vil variere etter skrivertype.
En spesiell mulighet er å sette opp et tidsrom for når skriveren vil fungere. Setter vi opp dette, vil brukerne kunne sende utskrifter til køen hele døgnet, men utskriftene vil ikke bli sendt videre til skriveren før tiden er innenfor tidsrommet vi har satt. Dette kan f.eks. brukes til å sette i gang store utskriftsjobber om natten.
Under Security kan vi kontrollere tilgangen til skrivere. I utgangspunktet vil alle ha rettigheter til å bruke skriveren, mens Administrator kan styre den. Hvis vi har plassert noen brukere i gruppene Print eller Server Operators, vil også disse kunne administrere skriveren. Hvis vi ønsker det, kan vi la enkelte grupper eller brukere kontrollere utskriftsjobber ved å gi dem Manage documents- rettigheter. De vil da kunne ta pause eller slette utskrifter fra køen og lignende.
Under Ports kan det være aktuelt å legge til eller endre porter for en skriver. Hvis vi for eksempel må endre IP-adressen på en skriver, må vi oppdatere porten her.
Vi kan velge å sette opp printer pooling. Det vil si at vi har to eller flere skrivere som betjener samme utskriftskø. Dette kan være aktuelt hvis vi har stor belastning på en skriver, eller hvis vi vil sikre oss mot at utskriftene stopper på grunn av papirkrasj eller lignende. Hvis vi velger pooling, må vi legge til en port med riktig IP-adresse for hver av skriverne.
I noen tilfeller kan det være aktuelt å lage flere printkøer til samme skriver. Dette kan f.eks. brukes hvis vi ønsker å lage en kø som bare sender ut skriverjobber på natten. Det kan også være aktuelt å lage køer med forskjellige skriverinnstillinger, for eksempel en med fargeutskrift og en med svart-hvitt. Noen skrivere kan brukes med forskjellige typer drivere, f.eks. PCL5, PCL6 og Postscript, og vi kan da lage en kø for drivertype.
For å lage en ekstra kø på en eksisterende skriver gjøres dette på samme måte som i eksemplet over, men når vi skal velge port, velger vi Add a new printer using an existing port. Deretter går vi videre og gir skriveren og sharet et annet navn.
Nå har vi kommet så langt at vi kan koble til en annen PC (en klient) og teste ut brukernavn, filområder og skrivere vi har laget.
Når vi skal bruke en klient i et Windows-domene, vil vi som oftest melde denne inn i domenet. Dette gir oss fordeler som disse:Det er også mulig å koble en PC til filområder og skrivere uten at den er medlem av domenet, men disse tilkoblingene må settes opp manuelt. En slik tilkobling kan f.eks. være aktuelt for enkelte brukere med bærbar PC.
Det er ikke alle versjoner av Windows som lar seg melde inn i et domene. Dette gjelder alle Home versjoner av Windows. I vårt eksempel vil vi bruke Windows 10 Pro, men også eldre Windows-versjoner kan brukes på en tilsvarende måte så lenge det ikke er Home utgaver.
Fordi domenenavnet vårt mittdomene.no, er et uoffisielt navn som kun eksisterer i vårt nettverk, må vi sørge for at klienten vår klarer å finne dette navnet. Dette gjøres ved å la klientene bruke vår egen DNS Server. DNS Serveren blir automatisk installert på serveren vår når vi lager Windows-domenet.
192.168.1.10).192.168.1.10.cmd.ipconfig /all og sjekk verdien for DNS.Vi må oppgi et brukernavn som har rettigheter til å melde maskiner inn i domenet. Foreløpig kan vi bruke brukeren Administrator i domenet vårt (ikke Administrator lokalt på klienten).
Vi får beskjed om at det ikke er noen konto for maskinen. Vi kan opprette en slik konto ved å skrive inn navnet klient1 og gå videre i veiviseren. Det lokale navnet på klienten vil da samtidig bli endret.
Det kan være at man må skrive inn administratorpassord for domene på nytt. Vi kan nå starte klienten på nytt og prøve å logge inn i domenet vårt for første gang. Legg merke til at det nå står Logg på: MITTDOMENE.
Vi kan f.eks. logge inn som en elev.
Hvis vi har satt opp korrekt Home folder på brukeren \\server1.mittdomene.no\home\%username%, vil vi nå få opp brukerens private hjemmeområde som disken N: hvis vi ser på Min Datamaskin.
Vi har ikke laget noen automatiske koblinger til de andre filområdene ennå, men vi kan finne dem ved å skrive inn adressen \\server1.mittdomene.no i Windows Utforsker.
Hvis vi ønsker, kan vi koble Apps og Felles til hver sin diskbokstav ved å høyreklikke på dem og velge Koble til nettverksstasjon.
Vi ser også at skriveren vi installerte, kommer fram i utforskeren. Hvis vi klikker på denne, kan vi få installert denne på klienten.
\\server1.mittdomene.no i Windows Utforsker.mittdomene\brukernavn, f.eks. mittdomene\nilsn og riktig passord.Det finnes en rekke innstillinger i Windows og programmer vi bruker, som påvirker utseende og hvordan programmene oppfører seg. Noen innstillinger er personlige, mens andre er knyttet til maskinen som brukes. Mange av disse innstillingene lagres i brukerprofiler som er en viktig del av brukermiljøet. Ved hjelp av Group Policy kan vi gjøre om på en mengde innstillinger som forandrer brukernes omgivelser. Påloggingsskript kan også benyttes til å påvirke brukermiljøet.
Profiler brukes for å tilpasse og lagre brukernes omgivelser. I en profil lagres for eksempel skrivebordet, Mine dokumenter og innstillinger i Windows. Også innstillinger fra forskjellige applikasjoner som Word, Excel, Internet Explorer og Windows Live Mail lagres her. Det er for eksempel i profilen vi finner favorittene og adresseboka.
Profiler kan enten lagres lokalt (Local Profiles) eller på en server (Roaming Profiles). Profiler gir oss flere fordeler:Når vi har brukere som logger seg på et Windows-nettverk, bruker vi ofte Roaming Profiles (roaming = omstreifende). Profilen til alle brukere er da lagret på serveren, og brukerne kan logge på alle PC-er som er medlem av domenet vårt, og få sin egen profil.
Når en bruker med Roaming Profiles logger seg på, vil hele profilen bli kopiert fra nettet til harddisken på den lokale PC-en (normalt til C:\Users). Når brukeren logger seg av, blir eventuelle endringer i profilen kopiert tilbake til profilen på nettet. Profilen blir også liggende på den lokale harddisken, slik at ikke hele profilen må kopieres over neste gang brukeren logger seg på den samme maskinen.
Når vi oppretter en bruker, må vi fortelle hvor profilen til brukeren skal plasseres. Vi kan enten legge profilen i en mappe på brukerens hjemmeområde, eller vi kan lage en egen deling (et share) for profiler der alle brukerne får hver sin mappe for sin profil.
Det kan være noen ulemper med Roaming Profiles. I noen tilfeller kan profilen vokse seg så stor at det tar lang tid å logge seg inn på en ny PC. I andre tilfeller kan profilen bli ødelagt slik at brukeren får problemer med noen programmer.
C:\profil og del denne for Domain users med lesetilgang.Når rettighetene settes slik, vil alle brukerne ha rettigheter til å opprette en katalog for sin profil. Dette skjer automatisk første gang en bruker logger inn med Roaming Profile. Etter at katalogen for brukeren er opprettet, vil rettighetene til Creator Owner sørge for at kun brukeren har tilgang til sin katalog. Dette medfører at heller ikke Administrator har tilgang til brukernes profiler. For å endre dette kan man bruke Group Policien Computer Configuration → Policies → Administrative Templates → System → User Profiles → Add the administrators security group to roaming users profile.
\\server1.mittdomene.no\profile\%username%.Vi kan velge om brukerne i nettverket vårt skal ha lokale profiler eller nettverksprofiler (Roaming). Valg av profiltype kan variere ut fra bruksmønsteret i nettverket og hvilken programvare som brukes.
Her er noen punkter for valg av profiltype:Det er anbefalt å sette opp en Roaming Profile samtidig som man redirigerer flest mulig foldere fra profilen til hjemmeområdet.
Hvis det oppstår feil i en profil, kan det medføre at en bruker ikke får logget seg inn, eller at han eller hun ikke får utført enkelte oppgaver. Det kan også føre til problemer for brukerne hvis profilen blir så stor at det tar lang tid å logge seg inn. Det kan for eksempel skje hvis en bruker lagrer store dokumenter på skrivebordet eller i Mine dokumenter.
Her er noen tips til hvordan du kan løse eventuelle problemer i profiler:C:\users eller c:\brukere. Gå inn i registry og fjern referansen til brukerens profil fra HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList.Computer Configuration\Administrative Templates\System\Logon.Group Policy er et sett med regler som kan knyttes til grupper av maskiner eller brukere. Disse reglene kan brukes til å styre en rekke forskjellige innstillinger for brukere og maskiner. Group Policy (GP) er et kraftig verktøy for administrasjon av brukere og maskiner, men i og med at det har så mange innstillingsmuligheter, er det også en potensiell feilkilde. En stor fordel med GP er at vi kan endre innstillinger på en PC som en normal bruker uten administratortilgang ikke har rettigheter til å gjøre. Det vil si at vi istedenfor å gå rundt på alle maskiner og gjøre en endring, kan vi gjøre dette automatisk når en normal bruker logger inn ved hjelp av en GP-setting.
Her er de viktigste områdene vi kan bruke Group Policy på:Group Policy er nær knyttet til Active Directory. Det er derfor viktig at du kjenner til begrepene Domain (domene) og Organizational Unit (OU) før du tar i bruk Group Policy (se kapitlet om Active Directory).
Group Policy kan settes på følgende objekter:Vi kan ikke sette Group Policy på en sikkerhetsgruppe (se brukeradministrasjon). Gruppebegrepet i Group Policy har altså ingen sammenheng med sikkerhetsgrupper som Domain Users eller Domain Admins. Vi kan derimot sette policy på en OU og deretter sette at den kun skal gjelde for enkelte sikkerhetsgrupper (under Scope).
Vi kan heller ikke sette policy på standard OU-ene Builtin, Users og Computers (policy som er satt på domene, vil fungere). Vi bør flytte brukere og maskiner over i egne OU-er slik at vi har mulighet for å sette policy direkte på disse.
Vi har også noe som heter Local Group Policy. Alle Windows-arbeidsstasjoner (ikke Home-versjonene) har en Local Policy selv om de ikke er knyttet til et nettverk med Active Directory. Her er det et begrenset antall settinger. Når vi melder en maskin inn i et domene, er det ønskelig å styre alle policies fra serveren, så de lokale innstillingene er det da lite aktuelt å bruke.
Vi kan sette policy på flere nivåer. Hvis samme verdi er satt på forskjellige nivåer, vil den som settes sist, gjelde. Følgende rekkefølge gjelder:Vi kan ha flere OU-er under hverandre. I vårt eksempel kan vi sette policy på både Elever og Kull2018. Vi kan også ha flere policies på hvert OU. I og med at det er mulig å sette policy så mange steder, kan vi lett gå i surr når det gjelder hvilke rettigheter en maskin eller bruker ender opp med. Vi må derfor ha en plan for hvordan vi ønsker at Group Policy skal settes.
Her er noen tips i den forbindelse:De objektene det er vanligst å sette Group Policy på, er Domain og OU. Vi bruker verktøyet Group Policy Management i kombinasjon med Active Directory Users and Computers til dette formålet.
Vi ønsker å sette en policy på alle maskiner i elevenes maskinrom som hindrer at nye brukere får velkomstanimasjonen i Windows 10.
Sette policy på maskiner:Vi skal her gå igjennom noen flere eksempler på innstillingsmulighetene i Group Policy.
Vi ser at Group Policy er delt i to hoveddeler: Computer Configuration og User Configuration.
Det er viktig å være klar over at hvis vi lager en Group Policy på en OU som inneholder maskiner, er det kun innstillingene i Computer Configuration som vil bli benyttet, selv om valgene for User Configuration er tilgjengelige. Det motsatte gjelder hvis OU-en inneholder brukere.
Et av bruksområdene til Group Policy er muligheten til automatisk å installere programvare på arbeidsstasjonene. Vi kan knytte et program enten til brukere (User Configuration) eller maskiner (Computer Configuration). Et program kan enten installeres automatisk (Assignment) eller gjøres tilgjengelig slik at brukerne selv kan velge å installere det med funksjonen Add/Remove Programs i kontrollpanelet (Published).
Hvis vi legger ut et program ved å tildele det en bruker, vil det bli lagt snarveier til programmet i Start-menyen og på skrivebordet. Den første gangen brukeren forsøker å starte programmet eller åpne et dokument som hører til programmet, vil programmet bli installert. Hvis vi derimot tildeler en maskin programmet, blir det installert automatisk når maskinen startes.
Før vi kan bruke programvareinstallasjonen, må vi lage en deling som installasjonsfilene kan ligge i. Hvis vi tildeler et program til maskiner, så installeres dette før noen bruker logger inn. Vi må derfor sørge for at maskinen har tilgang til delingsområdet. Dette gjøres enklest ved å gi rettigheter for gruppen Everyone. Hvis man vil begrense tilgangen til området, kan man gi tilgang til gruppen Domain Computers. Velg Object Types.
Installasjon av programvare fra Group Policy baserer seg på at programmet har en installasjonsfil i msi-format (Microsoft Installer). Hvis vi ønsker å installere et program som ikke har noen msi-fil, er det mulig å lage en slik fil selv ved hjelp av egen programvare for dette.
\\server1.mittdomene.no og bla deg fram til Apps → Programpakker.Under Account Policies er det spesielt Password Policy og Account Lockout som er viktige. Her setter vi innstillinger som lengde på passord, hvor ofte det må byttes, hvor mange forsøk brukerne skal få ved feil passord før kontoen sperres, og lignende. Legg spesielt merke til følgende: Account Policies må settes på policyen som ligger på domenenivå (Default Domain Policy). Hvis vi setter Account Policies på OU-er, vil dette kun gjelde for lokale brukerkonti på arbeidsstasjonene i OU-en.
Under Local Policies kan vi styre brukernes rettigheter på de maskinene som dekkes av policyen. Vi kan for eksempel nekte enkelte brukere tilgang til disse maskinene (Deny logon locally) eller kontrollere hvem som skal få lov til å skru dem av (Shut down the system).
Ved å definere grupper under Restricted Groups kan vi styre hvem som er medlem av de lokale gruppene på hver enkelt PC. Dette kan typisk brukes til å gi enkelte brukere eller grupper lokale administratorrettigheter på enkelte maskiner.
Det er mulig automatisk å koble opp skrivere til brukere eller maskiner ved å legge til skriverne under Deployed Printers. For at dette skal fungere, må vi passe på at skriverne er delt og satt opp korrekt på serveren.
Med administrative maler kan vi sette registerinnstillinger (Registry) i Windows.
I Windows Components kan vi lage en del innstillinger for spesielle programmer. Hvilke valg som er tilgjengelige, er avhengig av om vi er under Computer Configuration eller User Configuration. Vi kan blant annet sette innstillinger for Internet Explorer, Windows Explorer og Windows Installer.
Under System kan vi stille inn forskjellige forhold på systemnivå. Vi kan for eksempel fjerne muligheten til å kjøre kommandoen Prompt eller Regedit. Under Logon finner vi innstillinger som har betydning for hva som skjer når en bruker logger seg på eller av.
Fra Control Panel kan vi styre hva brukerne skal ha tilgang til i kontrollpanelet. I Desktop og Start Menu & Taskbar kan vi bestemme hvordan disse menyene skal se ut, og hva som skal være tilgjengelig i dem.
Under Preferences kan vi sette en rekke utvidelser til Group Policy som ble introdusert sammen med Windows Server 2008. Ved hjelp av disse kan vi bl.a. koble opp nettverksstasjoner, legge til nye snarveier på desktop eller startmeny, endre registry og legge til lokale brukere. Disse funksjonene vil i mange tilfeller erstatte funksjoner vi ellers ville gjort i et logonskript.
\\server1.mittdomene.no\apps\notepad.gpresult /v fra kommandolinjen for å se hvilke policies som slår til for brukeren og maskinen.rsop.msc (eventuelt som administrator).gpresult /user brukernavn /v for å se resultatet for den brukeren man ønsker.gpresult /user brukernavn /h rapport.html for å få generert en rapport på html-format.Logon script er en kommandofil som kan kjøres når en bruker logger seg inn på nettverket. Vi kan ha forskjellige skript, både for grupper av brukere og for enkeltbrukere. En av de vanligste funksjonene i et påloggingsskript er oppkobling av logiske stasjoner til områder på en server (mapping).
Vi kan også foreta en del vedlikehold og tilpasninger på hver enkelt brukers arbeidsstasjon i påloggingsskriptet. For eksempel kan vi installere programvare, gjøre endringer i registeret og kopiere filer.
Etter at vi fikk Preferences-tilleggene i Group Policy, er logonscript ofte unødvendig å bruke.
Eksempel på et cmd påloggingsskript:@echo off
net use i: \\server1.mittdomene.no\apps
I Windows Server 2012 kan standard .cmd filer benyttes som påloggingsskript. Slike filer har begrensede muligheter når det gjelder å utføre avanserte kommandoer, så det kan være mer aktuelt å benytte Powershell.
Skript plasseres ofte i delingen netlogon (\WINDOWS\SYSVOL\domain\scripts) lokalt på serveren, men det er mer aktuelt å legge inn skript som en Group Policy (under Windows Settings på Computer eller User Configuration). Ved å bruke Group Policy blir det enklere å ha forskjellige skript for forskjellige typer brukere. Det er også mulig å lage skript som kjøres når en maskin starter opp eller skrus av, og når en bruker logger av.
DHCP (Dynamic Host Configuration Protocol) er en tjeneste som deler ut nettverksadresser og annen nødvendig nettverks- informasjon til maskiner i lokalnettet.
192.168.1.100 og End IP til 192.168.1.150.192.168.1.1.mittdomene.no og DNS-server 192.168.1.10. Begge deler er riktig.Før vi kan starte vår egen DHCP-server, må vi stoppe eksisterende DHCP- server i nettet vårt. Har vi en router, må vi logge inn på denne og skru av DHCP-server.
Hvis du kjører med virtuelle maskiner med VMware Player, kan DHCP- serveren fjernes ved å finne fram til tjenester eller services på vertsmaskinen (Kontrollpanel → System and security → Administrative Tools) Vi kan da stoppe VMware DHCP server. Husk også å endre oppstarttype slik at den ikke starter igjen ved neste omstart.
ipconfig /release og deretter ipconfig /renew for å få klienten til å hente adresse på nytt.ipconfig /all for å sjekke at klienten har fått en riktig IP- adresse, og at adressen til DHCP-serveren er riktig.Hvis vi nå går tilbake til DHCP-serveren vår, skal vi kunne se klienten vår under Address Leases. Trykk eventuelt på F5 for å oppdatere skjermbildet.
Driften av servere og nettverk kan være svært forskjellig avhengig av hva slags nettverk og organisasjon serveren brukes i. I et lite nettverk er det kanskje bare én person til å drifte alt som har med IT å gjøre. I større nettverk kan driftsoppgavene være fordelt på flere personer.
Remote Desktop er kanskje det viktigste verktøyet for å administrere en Windows-server. Med dette verktøyet kan vi få opp skjermbildet fra serveren i et vindu på en klient. I dette vinduet kan vi gjøre de samme oppgavene som om vi satt fysisk ved serveren. Med Remote Desktop kan vi altså sitte på kontoret og administrere serveren selv om den står på et annet rom.
Vi satte opp Remote Desktop da vi installerte serveren, så dette skulle være i orden.
Remote Desktop Services er en rolle som kan installeres for å gi vanlige brukere Remote Desktop-tilgang. Hvis vi som administrator ønsker å kunne fjernadministrere serveren, trenger vi ikke installere denne rollen. Det er nok å tillate Remote Desktop.
Når vi kun bruker den administrative fjerntilgangen, er det en begrensning på maks. to samtidige pålogginger.
Det er også en begrensning på at samme bruker kun kan være logget på én gang. Dette kan vi endre slik:mittdomene.no.Hvis vi ønsker å kjøre Remote Desktop fra en maskin som er utenfor vårt eget nett, f.eks. hjemmefra, vil nettverkstrafikken som regel være sperret i en ruter eller brannmur. Hvis man ønsker å kjøre Remote Desktop utenfra, må man derfor ha en metode for å få tilgang til serveren.
Remote Server Administration Tools (RSAT) gir oss en annen mulighet til å fjernadministrere serveren. Det anbefales å bruke en klient av samme generasjon som serveren eller en nyere. For Server 2016 er dette Windows 10.
mittdomene.Server1.administrator@mittdomene.no slik at vi får rettigheter til å administrere serveren.Vi kan starte Event Viewer fra Tools-menyen i Server Manager eller ved å trykke på Windows → event.
Med Event Viewer kan vi se på forskjellige loggfiler på serveren. Vi finner tre viktige loggfiler under Windows Logs, nemlig Application, Security og System. Ellers er loggene som ligger under Customs Views for hver rolle, viktige.
Meldingene som kommer i loggene, er delt i tre: Informasjon, Advarsel (Warning) og Feil (Error). Av og til kan vi få feil og advarsler som vi kan ignorere f.eks. i funksjoner som vi ikke benytter.
Det kommer så mange meldinger i Event Viewer at det kan være vanskelig å hente ut den informasjonen vi ønsker. Feil og Advarsler kommer heldigvis ikke så ofte, så disse er det enklere å følge med på. Hvis vi derimot ønsker å hente informasjon fra informasjonsmeldingene, kan det være tyngre. Vi kan lage Custom Views som kan filtrere ut bestemte typer av informasjon som kan hjelpe oss.
Selv om vi bruker filteret ovenfor, vil vi fortsatt få litt ekstra informasjon i loggen. Dette er fordi også maskinene i domenet logger inn med jevne mellomrom. Les også om Auditing under sikkerhet.
Performance er et verktøy vi kan bruke til å overvåke ytelsen på en datamaskin med. Vi kan plukke ut noen ressurser som vi ønsker å følge med på, og få presentert disse ved hjelp av grafer. Det er også mulig å samle de dataene vi ønsker i en fil, slik at vi kan analysere dem senere. I tillegg kan vi sette opp alarmer som sier ifra når en variabel oppnår en bestemt verdi, for eksempel når minneforbruket overstiger 80 % av det totale minnet. Performance gir deg anledning til å se på flere maskiner samtidig.
I daglig drift er nok Task Manager bedre for å få et overblikk over ytelsen på serveren. Hvis vi ønsker å gå grundigere til verks eller samle ytelsesdata over en viss tid, kan Performance Monitor brukes.
Vi kan velge forskjellige counters (tellere) som vi vil følge med. Det er flere hundre forskjellige tellere å velge i, så det kan være vanskelig å vite hvilke vi skal bruke. Ofte er det mest aktuelt hvis man skal feilsøke og man har mistanke om en funksjon som bør overvåkes.
Hvis man vil se på noen eksempler, kan man prøve Memory: Pages/sec, Physical Disk: Avg. Disc Queue eller Processor: % Processor time. Disse gir en grov indikasjon på belastning av minne, disk og prosessor.
Eksempel på bruk av Performance MonitorDevice Manager kan ikke startes fra Server Manager, men startes fra Windows- menyen, kontrollpanelet eller Computer Manager.
Device Manager gir oss en oversikt over enheter og utstyr som er koblet til serveren. Hvis det er enheter som ikke fungerer eller mangler driver, er det lett å se det her. Det er spesielt ved nyinstallasjon eller oppgradering av utstyr i serveren at vi har nytte av Device Manager.
Det mest aktuelle å bruke Task Scheduler til er å starte et skript eller program. Vi kan f.eks prøve å lage et enkelt skript som lager en kopi av alle websidene på serveren
Starte skript med Task Scheduler: rem Skript for sikkerhetskopiere webserver
xcopy c:\inetpub c:\kopi\ /e /y
c:\skript.Brannmur eller firewall gir oss en sikkerhet mot angrep og virus som prøver å få urettmessig tilgang til serveren. Selv om vi har en ekstern brannmur/ruter, bør vi bruke den innebygde i Windows i tillegg. Dette gir en ekstra trygghet, og den er den eneste sikkerheten vi har mot eventuelle angrep som kommer fra vårt eget nett. Det kan f.eks. være en bruker i nettverket vår som har fått virus.
Som vi så i avsnittet om Remote Server Administration Tools, kan vi åpne opp for trafikk til bestemte tjenester eller program ved å lage unntak i brannmuren.
I noen tilfeller kan det være aktuelt å åpne opp bestemte TCP-porter:
Under Services kan vi få en oversikt hvilke tjenester som er startet opp. En service en programvare som kjører hele tiden, i motsetning til f.eks. en applikasjon som avsluttes hvis vi logger ut.
I noen tilfeller kan det være aktuelt å starte, stoppe eller restarte en service, men vanligvis gjøres dette fra konsollet som administrerer tjenesten, f.eks. DHCP-server.
I sjeldne tilfeller kan det være aktuelt å endre startup-type. Hvis vi ikke ønsker at en tjeneste skal starte automatisk når serveren starter, kan vi sette en tjeneste til Manuell eller Disabled.
Det er viktig å ha en klokke som går nøyaktig på serveren. Vi bør ha nøyaktige tider i loggene, og dessuten stilles klokka på alle klientene som er medlem av domenet, fra serveren vår. Vi kan stille nøyaktig tid ved hjelp av en NTP- server (Network Time Protocol) på Internett. En NTP-server har en svært nøyaktig klokke ved hjelp av et atomur eller en GPS-mottaker.
I motsetning til en Windows-klient blir ikke en Windows-server som er domenekontroller, automatisk stilt fra en Internett-klokke. Dette må settes opp manuelt. I vårt eksempel skal vi bruke en norsk NTP-server. Standard NTP- server på en Windows-klient er time.windows.com.
w32tm /config /manualpeerlist:ntp.uio.no /syncfromflags:manual /updatenet stop w32timenet start w32timeHvis vi ønsker å ha ekstra sikkerhet mot strømbrudd og forstyrrelser fra strømnettet, kan vi koble en UPS (Uninterruptible Power Supply) til serveren. Dette er en ekstern strømforsyning med reservebatteri som gjør at serveren kan gå en stund selv om strømmen går. En UPS kan også gi beskjed til serveren om at den skal avslutte Windows (Shutdown) når batteriet begynner å bli tomt. Windows Server har ingen innebygd programvare for å kommunisere med en UPS, så hvis man skal kjøpe en slik, må man sørge for å få med programvare som er kompatibel med Windows Server.
Vi kan regne ut den tiden batteriet vil holde, ut fra hvor stor belastning vi har koblet til UPS-en, og hvor stor kapasitet batteriet har. Nyere UPS-er har gjerne et display som kan vise belastning og anslått levetid for batterier.
Effekten på UPS er ofte oppgitt i voltampere (VA). Hvis effekten på utstyret er oppgitt i watt-timer (Wh), kan vi regne ut antall voltampere ved å dele antall watt med 0,7 (VA = W/0,7). Hvis effekten er oppgitt i ampere (A), regner vi ut antall watt slik: W = V * A, hvor V = 230 volt.
Den oppgitte effekten på en PC er den maksimale effekten. Det virkelige effektforbruket kan ligge godt under den påstemplede verdien.
Rutiner for å ta skikkelig sikkerhetskopi (backup) er noe av det viktigste en systemadministrator setter opp. Det er ikke moro å forklare tretti medarbeidere at alt arbeidet de har gjort det siste året, er forsvunnet. I mange tilfeller fører manglende sikkerhetskopiering til at bedrifter går konkurs eller lider betydelige tap.
Vi har flere typer backup-enheter. Disse kan være disk, tape (magnetbånd) eller optisk (DVD/Blueray), Tapestasjoner er fortsatt vanlig fordi teknologien er forholdsvis rimelig og har god kapasitet. En fordel med tape er også muligheten for å arkivere taper på et annet fysisk sted eller i et brannskap. Tapestasjoner av typen LTO kan ha kapasitet opp mot 6 TB. Har man behov for større kapasitet, kan man få taperoboter som skifter tape automatisk.
Bruk av backup til disk har blitt vanligere i det siste, men en kombinasjon av disk og tape er kanskje den beste løsningen. Vi kan da ha den nyeste backupen på disk slik at det er enkelt og raskt å hente noe tilbake. Eldre backup kan vi arkivere på tape.
Hvis enheten kan lagre en kopi av hele serveren på én tape, kan du ta kopi av alt hver dag. Ellers er det vanlig å ta kopi av alt én dag i uken og tilleggskopier (Incremental Backup) de andre ukedagene. Da får vi kopier av alt som er lagret på serveren, én dag i uken, og alle endringer som gjøres etter det, blir kopiert de andre dagene.
Det er vanlig å legge uketapen i en bankboks eller på et annet sikkert sted med jevne mellomrom. Om uhellet skulle være ute og serveren blir stjålet eller lokalene blir utsatt for brann, har vi alltid en fullstendig kopi av nyere dato tilgjengelig.
Vi har alltid minst én tape plassert utenfor bedriftens lokaler. Vær oppmerksom på sikkerhetsrisikoen ved backuptaper. Dataene på en backuptape blir normalt ikke kryptert, så enhver som får tak i tapen, vil også ha tilgang til bedriftens data. Lag gode rutiner og lås inn tapene internt!
Det programmet for sikkerhetskopiering som følger med Windows Server, heter Windows Server Backup. Det fungerer fint til å kopiere og legge tilbake data for enkelte servere, men kan bli litt for tynt for et stort nettverk. Derfor velger mange å kjøpe egne kopieringsprogrammer.
Task Manager gir oss en grei oversikt over hva som foregår på maskinen, og hvor stor belastningen er. Vi starter Task Manager ved å høyreklikke på klokka og velger Start Task Manager. Vi kan også bruke snarveien Ctrl+Shift+Esc eller Alt+Ctrl+Del. For å kunne se det vi trenger, må vi velge More Details.
Her ser vi oversikt over applikasjoner som f.eks. Internet Explorer eller Word. Vi ser ikke servertjenester eller systemprogramvare her. I enkelte tilfeller kan det være aktuelt å tvinge et program til å stoppe ved å høyreklikke og velge End Task.
Background Processes gir oss en oversikt over hva som kjører på maskinen. Hvis vi vil ha en mer detaljert visning av prosessene, kan vi velge tab-en Details. Det kan være nyttig å se hvilke prosesser som bruker mye memory eller CPU. Vi kan trykke på CPU eller memory for å sortere på disse kolonnene. Hvis vi ser et navn på en prosesser som ikke er selvforklarende, kan vi høyreklikke på det og velge Search Online.
System Idle Prosess belaster ikke CPU-en. Den bare viser ledig CPU-kraft.
Hvis vi høyreklikker på en prosess, kan vi bl.a. velge prioritet og affinity. Affinity betyr at vi kan velge at en prosess kun skal kjøre på én eller noen CPU-er hvis vi har flere prosessorer i maskinen eller én prosessor med flere kjerner.
Her kan vi se hvilke services som kjører. Dette er samme informasjon som vi kan se i Services-konsollet. En nyttig funksjon kan være å høyreklikke på en service og velge Go to Process. Dette er en rask metode for å finne hvilken prosess som hører til en service.
Her kan vi få en oversikt over belastningen til serveren.
CPU Usage viser nåværende CPU-belastning totalt for alle prosessorer.
Her kan vi se på bruken av minnet (RAM). Den største grafen viser hvor mye av det totale minnet som er i bruk.
Pagefile eller virtuelt minne er en metode for å gjøre mer minne tilgjengelig for maskinen. Når minnet (RAM) begynner å bli fullt, lagrer Windows deler av minne som ikke brukes aktivt på disk, slik at det frigjøres minne til andre program. Hvis maskinen må bruke Pagefile ofte, vil vi merke at maskinen vil gå tregere.
Normalt styrer Windows størrelsen på Pagefile selv. I utgangspunktet vil den være like stor som fysisk minne på maskinen- (Vi kan se pagefile.sys på C:\ hvis vi endrer Hide Protected Operating System files under Folder Options i Windows Explorer.)
Hvis vi ønsker, kan vi endre størrelsen på Pagefile her: Controlpanel → System and Security → System → Advanced System Settings → Advanced → Performance Settings → Advanced → Virtual Memory
Ved å velge Ethernet kan vi få en grafisk framstilling av nettverkstrafikken det siste minuttet.
Windows 2012 har i motsetning til Windows 8 ikke noe valg for å se på trafikken på diskene. Grunnen til dette er at trafikkovervåkning av disker kan stjele en del kapasitet fra serveren. Hvis vi ønsker å se på belastningen av disker, kan vi heller gå til Resource Monitor.
Hvis vi allikevel vil se på disker på samme måte som Windows 8, kan vi gjøre følgende:diskperf –Y.diskperf –N.Ved å gå inn på Resource Monitor kan vi få en mer detaljert oversikt over ressursbruk, bl.a ved å kunne velge ut enkeltprosesser.
Når man setter opp en server, er det alltid viktig å ha datasikkerhet i bakhodet.
Det kan ligge mange motiver bak forsøk på å få uautorisert tilgang til data. Det kan være hackere utenfra som gjør det for å imponere kameratene sine, eller det kan være din argeste konkurrent som er ute etter fortrolig informasjon. At bedriftens tillitsmann er meget interessert i å se de nye lønnsplanene eller hvilke planer ledelsen har lagt for nedskjæringer, er også en trussel vi må være oppmerksomme på. Undersøkelser viser at størsteparten av forsøkene på å få uautorisert tilgang til data kommer fra egne ansatte eller fra tidligere ansatte. Det er derfor viktig at systemet for intern beskyttelse er vel så bra som beskyttelsen mot angrep fra eksterne kilder.
Serveren bør stå i et avlåst rom hvor færrest mulig har adgang. Har bedriften midler til det, bør det installeres adgangskontroll ved inngangen til serverrommet.
Mange bedrifter har allerede alarm- og vaktordninger som gjør uautorisert tilgang til bygget vanskelig. Det bør også mindre bedrifter vurdere å anskaffe seg. Det hjelper ikke med verdens beste brannvegg (sikkerhetstiltak vis-à-vis Internett) hvis det går an å knuse en rute, ta serveren under armen og gå uten at noen merker det. Selv om server- og nettverksoperativsystemet er beskyttet av passord, vil man med fysisk tilgang til selve serveren ha gode muligheter til å finne de dataene man er ute etter.
Husk også at enhver som har tilgang til en av maskinene i lokalnettet, i teorien kan komme inn på serveren og hente ut de dataene vedkommende trenger. Det er derfor viktig at kontorer låses etter arbeidstid, slik at adgangen til maskinene gjøres vanskeligere.
Windows Server har en rekke hjelpemidler mot uautorisert tilgang til data. I kapitlet om brukeradministrasjon så vi på hvordan vi kan tildele passord og gi rettigheter til grupper og enkeltbrukere. Det er et viktig verktøy for å hindre at feil personer får tilgang til feil data, men verktøyene er kun til hjelp hvis systemadministratoren er seg sitt ansvar bevisst. Hvis en bruker ønsker å være medlem i en gruppe og administratoren inkluderer vedkommende i gruppen fordi ”det sikkert er OK siden hun spør”, er vi like langt.
Det er viktig at en bedrift eller skole har klare retningslinjer for hvem som skal ha tilgang til de ulike områdene og ressursene på nettverket. Administratorstillingen er i så måte en nøkkelstilling i og med at den gir ubegrenset tilgang til data. Det er vanlig at systempersonell med slik tilgang skriver under på en taushetserklæring og blir nøye vurdert før de settes i en slik posisjon.
I Windows Server finnes det en del verktøy for å finne og avsløre forsøk på uautorisert adgang til serveren (auditing).
Disse verktøyene kan blant annet hjelpe oss med å finne ut:Fordelen med å logge alt er selvsagt at du får bedre oversikt over hva som har skjedd på serveren. Ulempen er at loggfiler tar plass, og at det kan bli uoversiktlig.
Det finnes en rekke tilleggsprodukter til Windows Server som hjelper oss med å gå igjennom loggfilene for å finne angrep og sikkerhetsbrudd. Du bør vurdere å anskaffe et slikt produkt hvis nettverket har mange brukere og er koblet til Internett via en fastlinje.
Normalt vil et nettverk som er tilknyttet Internett med fast linje, alltid ha en brannvegg tilgjengelig. En brannvegg sørger for at kun godkjent trafikk slipper inn til lokalnettverket vårt. Ofte bruker vi uoffisielle IP-adresser på innsiden (lokalnettverket) og en offisiell adresse som eneste kontaktpunkt med Internett.
I en normal brannveggkonfigurasjon har vi én forbindelse til Internett og én til lokalnettet. I tillegg har vi en forbindelse til webservere og andre servere som må være tilgjengelige fra Internett. Disse er plassert i den såkalte DMZ-forbindelsen. Her kan vi bruke brannveggen til å si at webserveren vår kun skal godta trafikk på port 80 (http), slik at den blir atskillig vanskeligere å trenge inn i. Vi får også tilgang til å legge ut websider fra lokalnettet vårt.
Vi bør ha oppdatert antivirusprogramvare i nettverket vårt. Denne programvaren må ha en funksjon for regelmessig oppdatering. I motsetning til Windows 10 er det ingen innebygd antivirus funksjon i Windows Server. Det finnes riktignok uoffisielle oppskrifter på hvordan man installerer gratis antivirus fra Microsoft, men hvis man ønsker den offisielle løsningen, kan man kjøpe Microsoft System Center. Man får da en omfattende administrasjonspakke som har mange funksjoner utover antivirus.
Hvis vi kjøper en antivirusprogramvare beregnet for nettverk, får vi også mulighet for å sette opp rapportering slik at vi kan følge med på alle klienter. Vi får da beskjed om maskiner som er smittet, og om klientene er oppdatert med nyeste versjon av antivirusprogramvaren.
Et overordnet mål er at servere aldri skal være nede (utilgjengelige for brukerne). Dette er et ambisiøst mål, som det bare er mulig å nå i helt spesielle og kostbare installasjoner. Men ved hjelp av en del enkle tiltak kan du oppnå bra stabilitet i enkle nettverk.
Vi skiller mellom planlagte og uforutsette avbrudd i servertilgjengeligheten. Skal du oppgradere eller oppdatere serveren, er du i mange tilfeller tvunget til å starte maskinen på nytt. Det bør du gjøre på et tidspunkt der færrest mulig brukere blir berørt. Husk alltid å informere brukerne om driftsstoppen. Det lønner seg ofte å beregne god tid til slike oppgraderinger, i tilfelle noe skulle gå feil og serveren ikke vil starte igjen. Bruk gjerne en ferie- eller fridag, slik at du har god tid om det skulle oppstå problemer og du for eksempel må legge tilbake data fra en sikkerhetskopi.
For at en server skal være driftssikker, er det viktig at maskinvaren den kjører på, er av god kvalitet. Det lønner seg sjelden å spare på dette området; du bør benytte anerkjent og utprøvd maskinvare. Det er også viktig at eventuelt ekstrautstyr, som disker, minne og båndstasjoner, er av god kvalitet og blir forskriftsmessig installert.
Flere PC-fabrikanter, for eksempel Hewlett Packard (HP), Dell og IBM, har egne modeller som er laget for å være servermaskiner. De er spesielt tilpasset de kravene som må settes til en server. De kan for eksempel ha god plass for utvidelse med ekstra disker, utvidelseskort og minne. De har dessuten ekstra god kjøling og strømforsyning.
Her har du noen tips når det gjelder maskinvare:På en Windows-server vil vi ha én eller flere fysiske harddisker. For å få størst mulig driftssikkerhet kan vi bruke spesielle volumtyper som gjør at vi kan lagre data på flere disker samtidig.
En arbeidsstasjon eller server vil nesten alltid ha harddisker av typen Serial ATA (SATA) eller SAS.
SATA er den vanligste disktypen. Den brukes både i bærbare og stasjonære PC-er, men også mindre servere.
SAS (Serial Atached SCSI) har et mer avansert grensesnitt enn SATA og er derfor bedre egnet til servere. De fleste SAS-disker er raskere enn SATA. De fleste SATA-diskene har en omdreiningshastighet på 7200, mens SAS-disker gjerne har 10 000 eller 15 000 omdreininger per sekund.
SSD (Solid State Disk) har ingen bevegelige deler, men bruker flash-minne for å lagre data. En SSD-disk kan være mye raskere enn en tradisjonell disk, spesielt på leseoperasjoner. Fortsatt er SSD-disker dyrere enn vanlige disker, men har man høye krav til ytelse, kan det være aktuelt å bruke SSD-disker også i en server. SSD-disker kommer både med SATA og SAS grensesnitt.
SAN (Storage Area Network) er ett eller flere lagringskabinett som er koblet opp i et større lagringsnettverk for lagring av større mengder data. Dette kommuniserer så aktivt med nettverket.
Det er flere fordeler ved å samle all lagring i et eget nettverk:I Windows 2012 kan lagringsplass (harddisker) administreres på to forskjellige måter. Den tradisjonelle måten som vi kjenner fra eldre Windows-versjoner, heter Disk Management og kan fortsatt brukes i Server 2012. Har vi kun én eller to harddisker i serveren, kan vi gjerne bruke Disk Management. Hvis vi har flere harddisker og ønsker et mer avansert diskoppsett, bør vi bruke den nye funksjonen Storage Spaces.
På en server som skal inneholde forholdsvis mye data, er det vanlig å dele inn den lagringskapasiteten som er tilgjengelig, i volumer (én harddisk kan deles inn i flere volumer). Hvis det er ønskelig og vi har ledig diskplass, kan vi opprette flere volumer.
Når vi bruker flere volumer, blir det lettere å administrere plassen på harddisken(e). Hvis vi har en server med en harddisk som er inndelt i samsvar med tabellen, og disken begynner å bli full, kan vi installere en ny harddisk. Et av volumene, for eksempel APPS, kan flyttes over til den nye disken. Ulempen med en slik oppdeling er at vi bruker mer plass fordi vi må ha litt ledig plass å vokse på.
Det anbefales å legge systemfiler på et eget volum. Det gjør det enklere å vedlikeholde systemet senere. Hvis vi for eksempel må legge tilbake data fra en sikkerhetskopi, er det enklere når brukerdata og applikasjoner ligger på egne volumer.
Standard filsystem for Windows 2012 er NTFS (NT File System). NTFS er et kraftig og avansert filsystem som har støtte for tilgangsrettigheter, komprimering og kryptering. NTFS er også et journalførende filsystem, noe som betyr at det er meget robust overfor systemkrasj og strømbrudd. Det eldre filsystemet FAT32 (File Allocation Table) brukes normalt ikke på en server, men hvis vi kobler en ekstern disk eller minnepinne til en server, er det stor sjanse at disse har FAT32. Vi bør unngå å bruke slike disker i normal serverdrift. En ekstern harddisk bør i alle fall konverteres til NTFS.
ReFS (Resilient File System) er et nytt filsystem som var nytt med Windows 2012. Dette skal være enda mer robust enn NTFS og er planlagt å skulle ta over for NTFS på sikt. ReFS skal være spesielt egnet for veldig store datamengder. Foreløpig er det noen begrensninger i bruksområde for ReFS, så det er bare i noen situasjoner det er aktuelt å bruke.
Konsollen Disk Management brukes for å partisjonere, formatere og administrere disker. Dette verktøyet kan benyttes til enkle diskoperasjoner. Vi kan f.eks. høyreklikke på ledig plass (Unallocated) på Disk 1 og lage et nytt volum E:. Om ønskelig kan vi lage flere små volumer.
Storage Spaces er en ny måte å organisere harddisker i Windows på. Denne funksjonen finnes også i Windows 8. Ved å organisere harddisker i én eller flere grupper (pool) kan vi få forskjellige funksjoner for både sikkerhet, administrasjon og ytelse.
De viktigste funksjonene er:Feiltoleranse mot diskfeil: Hvis en disk stopper, vil informasjonen vår fortsatt være intakt. Dette kan gjøres ved enten å speile informasjonen over på en annen fysisk disk eller å spre informasjonen over tre eller flere disker på en slik måte at vi ikke mister noe uansett hvilken disk som stopper.
Fleksibilitet: Når vi har laget en pool, kan vi definere flere logiske disker i denne poolen. Disse kan være av forskjellig type.
Utvide med flere disker. Hvis vi har en diskpool som er i ferd med å gå full, kan vi utvide med flere disker. Det er også mulig å bytte ut eksisterende disker med større disker.
Tynne disker: vi kan definere logiske disker som er større enn den fysiske kapasiteten i poolen. Når den logiske disken begynner å fylles opp, kan vi utvide kapasiteten i poolen. Fordelen med dette er at vi kan sette en stor diskstørrelse i utgangspunktet.
Tiering: Dette betyr en lagdeling av disktyper. Vi kan dele opp diskene i raske og trege typer og så få systemet til automatisk å legge den informasjonen som brukes oftest på de raskeste diskene. Dette systemet er dynamisk slik at informasjon som ikke har vært brukt på en stund, blir flyttet til de tregeste diskene. Dette skjer automatisk, og verken brukere eller Windows vil merke at filene er flyttet (bortsett fra hastigheten). I praksis er det skille mellom vanlige harddisker og SSD-disker som kan brukes til tiering. SSD-disker er betydelig raskere enn mekaniske disker.
Write-Back Cache (mellomlagring) brukes i mange sammenhenger på en datamaskin. Prinsippet er å bruke et lite, men raskt mellomlager mot et tregere medium. Normalt brukes ikke caching av ting vi skriver til en harddisk. Hvis strømmen går, er faren stor for at vi mister data. Ved å bruke litt av en SSD, disk som mellomlager er denne faren eliminert fordi SSD husker alle data uten strøm.
Det første vi må gjøre, er å lage en Storage pool. For å sette opp en Storage pool, bør vi ha flere ledige harddisker knyttet til serveren. Vi kan sette opp en pool med kun én disk, men for å kunne bruke de mer avanserte mulighetene for speiling og paritet må vi minst ha tre ledige disker.
Normalt er det ikke å anbefale å bruke løse USB- disker på en server. Disker bør være installert internt i serveren eller samlet i et eksternt kabinett. Hvis vi må bruke vanlige USB-disker, må vi i alle fall passe på at de er av USB 3-typen.
Først må vi lage en Storage Pool av de ledige diskene våre.Nå kan vi gå til Windows Explorer og sjekke at vi ser det nye volumet. Prøv gjerne å kopiere noe data til den for å sjekke hastigheten.
Som vi har sett tidligere, kan vi dele inn disker etter hastighet. Det er når vi har noen disker av SSD-typen at vi kan bruke dette. Hvis vi ønsker å lage logiske disker med speiling eller paritet, må vi bruke minst 2 eller 3 SSD-disker også. Vi kan altså ikke bare legge til en enkelt SSD-disk.
For å teste tiering skal vi bruke én fysisk SSD sammen noen harddisker for å lage et simpelt logisk volum. Et slikt simpelt volum gir oss ingen sikkerhet mot diskfeil, men gir oss i alle fall mulighet til å se hvordan tiering fungerer.
Lag en diskpool med minst en harddisk og en SSD-disk. Hvis vi har en diskpool fra før, kan vi legge til en SSD-disk i den.
Før vi går videre, må vi sjekke at Media type er riktig. I noen tilfeller klarer ikke systemet å se hva slags disker som er koblet til. Dette kan kun gjøres på disker som ligger i en pool.
For å kunne endre Media type må vi åpne Powershell.
Skriv følgende kommandoer:Set-PhysicalDisk -FriendlyName PhysicalDisk2 -MediaType HDDGet-PhysicalDiskGet-PhysicalDisk | ft FriendlyName,MediaTypeEn diskkvote (Quota) setter en grense for hvor mye data som kan lagres. Vi kan enten sette kvoter per bruker eller for en folder.
Med diskkvoter kan vi sette en grense per bruker. Denne grensen vil da gjelde alle filer en bruker eier på et helt volum. Diskkvote er derfor godt egnet på volumer hvor flere brukere har skrivetilgang til samme kataloger, f.eks. fellesområdet vårt K:.
Det er også mulig å sette kvoter per folder. Denne funksjonen er mer brukervennlig ved at vi bl.a. kan få sendt mail til brukere som nærmer seg grensen. På fellesområder hvor flere brukere har skrivetilgang til samme foldere, er diskkvoter bedre egnet.
Hvis vi går inn på en av advarslene, kan vi endre advarselsteksten. Vi kan også velge å legge ved en rapport om hva som bruker plass. Marker f.eks. Warning 95% og trykk på Edit.
For å sende advarsler om diskbruk med mail må vi sette opp informasjon om mailserver og mailadresse.
Oppsett av mailserver med adresserWindows Server 2012 har ingen innebygd mailserver. Microsofts mailprodukt er Exchange Server, som må kjøpes separat. Det er mulig å sette opp en enkel utgående mailserver (SMTP) (legges inn fra Features), men som regel kan vi like greit bruke en ekstern utgående mailserver.
For å bruke en ekstern mailserver må det være en som vi har lov til å bruke fra det nettverket serveren er koblet til. Dette kan være en mailserver som vår internettleverandør (ISP) tilbyr, eller en intern mailserver hos vår bedrift eller skole.
Vi har heller ikke mailkontoer for våre testbrukere. Vi kan da eventuelt bruke vår egen mailkonto både for administrator og en av brukerne for å få testet at advarsler via mail fungerer. Eventuelt kan vi opprette noen mailkontoer på Google eller Outlook.com.
Under File Server Resource Manager har vi mulighet for å sette opp File Screening. Dette er et slags filter som nekter brukere å lagre enkelte typer filer. Et typisk eksempel er brukere som lagrer private musikk- og videofiler. Dette er filer som bruker mye plass, og som fort fyller opp en server.
Shadow Copies gjør det mulig for brukerne å hente tilbake gamle versjoner av dokumenter de har lagret på serveren. Denne funksjonen tar vare på gamle versjoner av filer og kataloger som slettes eller endres. Hvis en bruker sletter en fil, kan han eller hun selv hente den tilbake.
Shadow Copies fungerer slik at serveren med visse mellomrom tar et snapshot av filstrukturen på et volum. Standardinnstillingen er at det blir laget snapshot klokka 7.00 og 12.00 hver ukedag. Man kan endre hvor ofte det blir laget snapshots, men det bør ikke gjøres for ofte fordi det lagres maksimalt 64 stykk. Man trenger også en del diskplass hvis det skal lagres mange snapshots. Det kan være aktuelt å lagre snapshots på et annet volum enn det man lager snapshot av. Dette er også gunstig for ytelsen.
Et snapshot inneholder kun et bilde av filstrukturen på et gitt tidspunkt. Det blir ikke kopiert noen filer. Det betyr at denne operasjonen går forholdsvis raskt, og at snapshotet ikke blir så veldig stort. Filene som slettes eller endres, blir liggende på samme plass hele tiden, men markert som slettet, slik at de ikke er synlige for brukeren. En forutsetning for at Shadow Copies kan fungere, er derfor at det er en god del ledig plass på volumet. Vi bør ha minst 10 % av den totale størrelsen til volumet tilgjengelig for Shadow Copies.
For å kunne se de slettede filene bruker vi funksjonen Previous versions eller Tidligere versjoner. Alle Windows-versjoner fra og med Windows XP SP2 har denne funksjonen.
Internet Information Services, IIS, er Microsofts webserver som følger med Windows Server. IIS kan brukes for å sette opp alt fra enkle websider til omfattende webapplikasjoner. I dette kapitlet vil vi se på hvordan vi installerer webserveren og lager en enkel webside. Vi vil også se på bruk av kataloger og hvordan vi kan endre nettadressen. Til slutt vil vi se på hvordan vi kan sette opp webserveren for å betjene flere domener og installere en webapplikasjon.
Gå til Server Manager og legg til rollen Web Server (IIS). Når installasjonen er ferdig, har vi en fungerende webserver. Vi kan nå teste denne ved å skrive inn server1.mittdomene.no i en webleser på klienten eller serveren. Vi skal da få opp en standardwebside. Vi kan nå endre startsiden til vår egen nettside.
C:\inetpub\wwwroot. Dette er rootkatalogen for webserveren.default.htm i wwwroot katalogen. server1.mittdomene.no.http://server1.mittdomene.no/katalog/index.html
Protokoll: http (Hypertext Transfer Protocol) er navnet på protokollen for vanlige websider. https brukes på sikre websider. I noen tilfeller kan andre protokoller brukes, f.eks. ftp (File Transfere Protocol).
Maskinnavn: Et komplett maskinnavn består av kortnavn + domenenavn. Ofte vil kortnavnet være www.
Katalog: Vi kan dele opp websidene i kataloger eller mapper.
Filnavn: Dette er selve webdokumentet. Hvis det brukes standard dokumentnavn, vil ikke dette være synlig. Hvis vi har et webområde med dynamisk innhold, som f.eks. en webapplikasjon, vil filtypen på dokumentet ofte være en annen som f.eks. index.asp eller index.php.
Vi kan lage kataloger for å dele opp websiten vår i flere områder. Disse katalogene lages i forhold til roten (startkatalogen), dvs. at de lages under katalogen wwwroot. Hvis vi ønsker områdene info, kurs og kontakt, kan vi lage disse som vanlige kataloger i wwwroot katalogen. Dette kan gjøres direkte fra Windows Explorer.
index.html til infokatalogen.server1.mittdomene.no/info.Hvis vi har behov for å legge ut websider som ikke kan plasseres under wwwroot, kan vi lage en virtuell katalog. Dette kan være aktuelt av plasshensyn eller fordi vi allerede har filer liggende et annet sted.
C:\kontakt.C:\kontakt for Physical path.server1.mittdomene.no/kontakt.Det er også mulig å lage virtuelle kataloger som peker til en helt annen server. Vi kan da f.eks. skrive inn \\server2.mittdomene.no\kontakt for Physical path. Ved behov kan vi skrive inn brukernavn og passord ved å trykke på Connect as.
Som vi så ovenfor, kan vi endre innstillinger for webserveren flere steder. I tillegg til å endre på server og sitenivå kan vi også gjøre noen endringer på katalog og filnivå. Vi vil ikke gå inn på alle innstillingsmuligheter i denne boka. Noen innstillinger er bare aktuelle hvis vi skal kjøre webapplikasjoner, andre er avanserte innstillinger for spesielle situasjoner.
Authentication: – Normale websider krever ingen pålogging med brukernavn og passord, men i noen tilfeller kan det være aktuelt å sette passord på en webside.
Compression: det er mulig å komprimere websider på en tilsvarende måte som vi kan komprimere andre dokumenter til en zip fil. Webserveren vil da automatisk komprimere en webside før den sendes til webleseren som har bedt om den. Webleseren vil automatisk pakke opp igjen den komprimerte websiden slik at brukeren ikke vil merke noe til komprimeringen. Ved å bruke komprimering blir belastningen på nettverket mindre, noe som er en fordel både for eieren av webserveren og brukeren av websidene.
Default Document: – Standard dokumentnavn. Da vi testet websiden vi laget tidligere, skrev vi ikke noe filnavn. Det er fordi vi lagret websiden som default.htm, som er en av de standard filnavnene som webserveren vil se etter hvis det ikke er oppgitt filnavn.
Standard dokumentnavn erHvis vi har flere av filnavnene i en katalog, vil den som ligger øverst i listen, gjelde. Vi kan legge til, fjerne og endre rekkefølgen på filnavnene etter ønske.
Hvis vi f.eks. lager en webside som heter side1.htm, må vi oppgi filnavnet i adressen i webleseren fordi det ikke er et av standard filnavnene, for eksempel server1.mittdomene.no/side1.htm.
Directory Browsing: Hvis vi går inn på en webadresse som bare inneholder domenenavn eller et katalognavn, vil vi normalt bare få opp en webside hvis vi har et dokument som har standard dokumentnavn. Hvis vi ønsker, kan vi vise fram alle filene som ligger i en katalog. Dette kan i noen tilfeller være en rask og enkel metode for å gjøre dokumenter tilgjengelig for brukere.
wwwroot.server1.mittdomene.no/kurs.Error Pages: Her kan vi endre feilmeldinger fra webserveren slik at vi kan lage våre egne feilmeldinger istedenfor standardmeldinger.
MIME Types (Multipurpose Internet Mail Extensions): er en Internett standard for å beskrive innholdstype. Dette er en standard som er laget for mail, men brukes i dag også på webservere.
Hvis vi går inn på MIME types, ser vi at det ligger en tabell med kobling mellom filtype (file extension) og MIME type. En .jpg fil har f.eks. MIME type image/jpeg.
Bruk av MIME typer er spesielt aktuelt når det skal kommuniseres mellom forskjellige plattformer. Hvis f.eks. en bruker på en Linux klient slår opp en webside på vår server, som jo er en Windows maskin, vil innholdet på websiden tydelig identifiseres ved hjelp av MIME typene.
Normalt er de MIME typene som ligger inne som standard, tilstrekkelig, men i sjeldne tilfeller må vi legge til nye MIME typer.
Hittil har vi brukt adressen server1.mittdomene.no, men hvis denne webserveren skal være offentlig tilgjengelig, ønsker vi kanskje å ha en penere adresse, f.eks. www.mittdomene.no.
Vi får nå fram informasjonen som er registrert for domenet vårt. Vi finner blant annet navn og adresser til serveren og klienten vår. De feltene som har navn (same as parent folder), er det samme som mittdomene.no og er informasjon om selve domenet. Vi ønsker å kunne bruke navnet www.mittdomene.no, men det er ikke så lurt å endre navnet server1.mittdomene.no siden vi bruker dette i lokalnettet vårt.
www.mittdomene.no.Webserveren til Windows Server kan settes opp slik at den betjener flere domener. For å få til dette må vi bruke både IISmanager og DNS Manager.
La oss si at vi ønsker å lage websider for en nettside som heter spillespill.no. Webadressen skal da være www.spillespill.no.
c:\spillespill.spillespill.no for zonename.www for Name og 192.168.1.10 for IP address.www.spillespill.no for å kontrollere at vi får svar fra vår server 192.168.1.10 på denne adressen.www.spillespill.no.mittdomene.no i IIS Manager og velg Bindingswww.mittdomene.nowww.mittdomene.no fortsatt fungerer.En webapplikasjon gjør det mulig å lage websider med dynamisk innhold. Dette kan være alt fra nettbutikker, bloggservere, webpubliseringsverktøy eller webbasert bildegalleri. En webapplikasjon kan også erstatte tradisjonelle applikasjoner som installeres lokalt på en PC. Google docs er et eksempel på dette. Vi får her enkle utgaver av tekstbehandling, regneark og kalender.
www.mittdomene/dasblog.www.mittdomene.no/dasblog og sjekk at du får opp en nettside.Hyper-V er Microsofts programvare for å kunne kjøre flere servere eller klienter på én fysisk maskin. Når vi kjører flere datamaskiner på én fysisk maskin, kaller vi det gjerne for virtualisering. De ekstra maskinene er virtuelle fordi de eksisterer bare i form av programvare på en vertsmaskin, men for brukerne av maskinene oppleves de som en normal datamaskin.
Vi kaller gjerne den fysiske maskinen for host og de virtuelle for guests.
For å kunne bruke Hyper-V må maskinen vi skal bruke, ha en prosessor som har støtte for virtualisering. De fleste nyere prosessorer har denne støtten, men i noen maskiner må denne funksjonen slås på i BIOS oppsettet.
Ellers er det en fordel med kraftig maskinvare. Ved å bruke en maskin med flere CPU kjerner og mye RAM kan vi kjøre mange virtuelle maskiner på en boks. Hvis vi kjører virtuelle maskiner med normal CPU belastning (lav til middels), er det gjerne størrelsen på minnet som setter grensen for antall virtuelle maskiner. Flere harddisker og nettverkskort kan også være aktuelt for å kunne fordele belastningen.
Nå må vi lage en virtuell harddisk og velge hvor den skal plasseres. En virtuell harddisk er bare en fil på vår vertsmaskin. En slik fil vil vokse etter som vi bruker den virtuelle disken. Selv om vi setter at størrelsen på disken skal være 127 GB, vil ikke filen bli større enn summen av innholdet av den virtuelle disken. Vi kaller gjerne dette en tynn disk eller Dynamically expanding disk.
Nå har vi en ferdig definert virtuell maskin med en blank harddisk. Vi kan godt prøve å starte den, men vi vil bare få beskjed om at maskinen ikke kan starte. Før vi kan ta i bruk maskinen, må vi installere et operativsystem på den, som f.eks. Linux, Windows Server eller Windows 10.
Når vi jobber med virtuelle maskiner, er det veldig greit å ha .ISO filer (imagefiler av CDer og DVDer) som vi kan boote fra. Hvis vi tidligere har lastet ned demoversjon av Windows Server 2016, har vi allerede en .ISO fil vi kan kopiere inn på serveren vår (vertsmaskinen). Hvis vi har en DVD plate med Windows 2016, kan vi laste ned et verktøy, f.eks. ISO Recorder, som kan lage en .ISO fil fra DVDen.
Boote fra en .ISO filNår vi kjører en virtuell maskin i et vindu, er det noen funksjoner som er viktige. For å kunne logge inn på en Windows server må vi normalt trykke på Alt+Ctrl+Del. For å få til dette på en virtuell maskin kan vi enten trykke på knappen med tre taster eller på Ctrl+Alt+End.
Vi har følgende knapper på toolbaren:Integration services er en programpakke som gjør at de virtuelle maskinene fungerer bedre og raskere. Denne programvaren ligger inne som standard i nyere Windows versjoner, men på eldre versjoner må den installeres.
Installere Integration Services:Hvis det kommer oppdaterte versjoner av Hyper-V, kan det være aktuelt å oppgradere Integration Services på de virtuelle maskinene.
Et checkpoint eller snapshot av en virtuell maskin er et øyeblikksbilde som vi senere kan rulle tilbake til. Checkpoint brukes typisk til uttesting av ny programvare og oppdateringer.
Lage checkpoint av virtuell maskinCheckpoint gir oss mulighet for å gå tilbake til eldre versjoner av en maskin, men er ingen erstatning for backup. Vi må derfor sørge for å lage sikkerhetskopier av viktige data i tillegg.
Dynamic memory gir oss dynamisk tildeling av minne til de virtuelle maskinene. Denne funksjonen gjør at vi kan dele ut minne etter behov, slik at vi får mulighet til å sette opp flere virtuelle maskiner uten å gå tom for RAM på vertsmaskinen.
Dynamisk minne fungerer med de fleste aktuelle operativsystemer. Dette er også støtte for flere Linux distribusjoner. I noen tilfeller kan det være nødvendig å installere nyeste utgave av Integration Services. Vi kan sette en startverdi i tillegg til en minimums- og maksimumsverdi for størrelsen på minne. Startverdien er fast under oppstart eller installasjon av operativsystemet.
Vi kan bruker Memory Weight til å justere prioritet på tildeling av minne. Memory Buffer er hvor mye ekstra minne den virtuelle maskinen vil få, i forhold til behovet som virtualiseringsprogrammet har beregnet. Dette ekstra minnet brukes til Disk Buffer (se Cached i Task Manager) og for at den virtuelle maskinen skal ha litt ekstra minne å gå på i tilfelle minnebehovet øker.
Hvis vi har en kraftig server, kan vi gjerne ha 5–10 virtuelle maskiner kjørende i Hyper-V. Hvis vertsmaskinen må restartes, må også alle de virtuelle maskinene restartes. For å unngå dette kan vi flytte de virtuelle maskinene til en annen vertsmaskin før omstart.
For at flytting av maskiner skal gå raskest mulig, bør vertsmaskinene ha felles lagring. Dette gjøres tradisjonelt med et lagringsnett (SAN) som er koblet sammen med iSCSI. Støtten for slike lagringsnett er innebygd i Windows, men selve lagringskabinettene kan være ganske kostbare.
Nytt i Windows Server 2012 var mulighet for å bruke felles lagring for virtuelle maskiner på et vanlig nettverksdeling, altså vanlige disker i en Windows Server maskin, som deles slik vi har gjort tidligere. Det er fildelingsprotokollen SMB som gjør dette mulig.
Hvis Hyper-V maskinene har felles lagring, kan en virtuell maskin flyttes i løpet av sekunder. Det er kun innhold i minnet (RAM) på den virtuelle maskinen som må flyttes.
Selv om Hyper-V maskinene ikke har felles lagring, kan vi allikevel utføre en flytting. Innholdet av harddisken til den virtuelle maskinen må da flyttes over nettverket. Dette kan ta en stund, dersom disken er stor og nettverksforbindelsen er treg. Selv om selve flyttingen tar lang tid, vil ikke maskinen være utilgjengelig mer enn noen millisekunder. Selve byttet kan skje etter at alt er kopiert over.
I vårt nettverksoppsett har vi bare en fysisk server, og vi kan derfor ikke utføre en flytting av virtuelle maskiner med dette. For å se nærmere på et eksempel på flytting av virtuelle maskiner vil vi allikevel gi et grovt overblikk over hvordan dette gjøres.
Vi kan tenke oss at vi har en ekstra fysisk maskin med følgende oppsett:Vi kan sette opp Windows tilsvarende den første serveren og kalle den Server2. Det holder å legge inn rollene Fileserver og Hyper-V. Meld så den nye serveren inn i domenet mittdomene.no.
Først kan vi lage et share som vi kan bruke som felles lagring for Hyper-V:\\server2.mittdomene.no\Hyper-V.Windows Deployment Services (WDS) er et system for å installere Windows fra en nettverksserver. Ved hjelp av WDS kan vi starte opp og installere Windows uten å bruke DVD eller annet lokalt installasjonsmedium. Isteden starter vi opp (eng. boote) maskinen vi ønsker å installere via nettverket, og laster ned installasjonsfilene fra en server.
WDS har to hovedtyper av installasjoner. Vi kan enten kjøre en standardinstallasjon, dvs. at installasjonen foregår omtrent som om vi hadde installert fra DVD, eller som en tilpasset installasjon hvor vi kan legge til annen programvare og gjøre tilpasninger.
WDS er meget praktisk hvis man har mange PCer som skal installeres. Med en slik tjeneste kan man starte opp en PC med blank harddisk via nettverket og få lastet ned et ferdig konfigurert oppsett med Windows og applikasjoner.
Vi installerer WDS ved å legge til rollen Windows Deployment services.C:\Remoteinstall.\Sources katalogen på disken eller .iso filen. Velg install.vim.boot.wim på tilsvarende måte.Under Boot images vil vi få fram Microsoft Windows Setup. Dette er den filen klientene starter opp med, slik at vi kan kjøre installasjonsprogrammet for Windows.
Nå kan vi prøve å starte opp en klient fra nettet. sHvis vi ønsker å gjennomføre installasjonen, må vi bruke en maskin hvor vi kan slette hele harddisken. Hvis vi bare vil sjekke at vi klarer å starte en maskin fra nettet, kan vi bruke en hvilken som helst PC, så lenge vi avbryter installasjonen. Bruk gjerne en virtuell maskin.
De fleste moderne PCer har støtte for å boote fra nettverket. Denne funksjonen kalles PXE booting (Preboot Execution Environment). Ofte kan vi velge å starte fra nettet ved å trykke på F12 mens maskinen starter (trykk gjerne på F12 flere ganger). Alternativt kan det være en annen tast som må trykkes på for å få fram en boot meny. Velg i tilfelle boot device for Internal NIC (nettverkskort).
Hvis vi har problemer med å få maskinen til å prøve å boote fra nettet, kan vi gå inn i BIOS og prøve å endre boot rekkefølgen. I noen tilfeller må PXE funksjonen aktiveres i BIOS første gang.
C:\Remoteinstall i etterkant.C:\Remoteinstall\Images\Windows og velg ut det imaget vi laget.Når vi starter opp en PC fra nettverket ved hjelp av en WDS server, blir det lastet inn et operativsystem som heter Windows PE. (Windows Preinstallation Environment). Dette er en lightversjon av Windows OS, som er beregnet til å installere fullversjonen av Windows. Denne mangler en del grunnleggende elementer som startmeny og filbehandler, men ellers har den de aller fleste grunnfunksjoner og kommandoer som Windows 10.
Dir: ser på filerCD: skifter katalogwpeutil initializenetwork: starter nettverketnet use: ser på nettverkstilkoblingernet use f: \\server1.mittdomene.no\felles: kobler opp fellesområde på serveren vår til F:g:: skifter til disk g:ping vg.no: tester nettforbindelsepathing vg.no: tester nettforbindelse grundigerediskpart: ser på og manipulerer diskerI noen tilfeller kan vi oppleve at vi ikke har nettverksdriver som fungerer i Windows PE. Vi kan da legge til drivere på deploymentserveren vår.
Legge til drivere på deploymentserver: